請問關于tcpdump和iptables的問題

aa673

iptables增加了對80端口的DROP
但用tcpdump還是能監(jiān)聽到關于80端口的SYN連接， 為什么iptables沒有DROP掉SYN類型的包？

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0                  
ACCEPT     all  --  159.37.21.0/24      0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            159.37.21.0/24     
DROP       all  --  0.0.0.0/0            0.0.0.0/0      

tcpdump -i em2 host 218.24.24.55 -nn

14:21:10.187626 IP 218.24.24.55.27845 > 159.37.21.10.80: Flags [S], seq 159907489, win 8192, options [mss 1380,nop,wscale 2,nop,nop,sackOK], length 0

aa673

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0   

這個是對回環(huán)端口的ACCEPT，請大家不要誤解

qianguozheng

問問題，要把問題描述清楚。。。。。。

aa673

服務器執(zhí)行：
iptables -I INPUT -p tcp --dport 80 -j DROP

tcpdump -i em2 port 80 -nn

客戶端執(zhí)行
telnet xxx.xxx.xxx.xxx 80

tcpdump輸出TCP SYN包， iptables為什么沒有過濾掉？

aa673

服務器執(zhí)行：
iptables -I INPUT -p tcp --dport 80 -j DROP

tcpdump -i em2 port 80 -nn

客戶端執(zhí)行
telnet xxx.xxx.xxx.xxx 80

tcpdump輸出TCP SYN包， iptables為什么沒有過濾掉？

Riet

那是tcp3次握手的包，你的iptables又沒限制
可以試試
-p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
或者
-p tcp --sync -j DROP
但是你這樣做了，還有包能進來么？

action08

講點抽象的理論，iptables drop確實執(zhí)行了，
但是tcpdump是基于網(wǎng)卡抓包的，網(wǎng)卡把數(shù)據(jù)傳給內(nèi)核，當然數(shù)據(jù)顯示也是優(yōu)先iptables執(zhí)行的