请问关于tcpdump和iptables的问题

aa673

iptables增加了对80端口的DROP
但用tcpdump还是能监听到关于80端口的SYN连接， 为什么iptables没有DROP掉SYN类型的包？

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0                  
ACCEPT     all  --  159.37.21.0/24      0.0.0.0/0           
DROP       all  --  0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            159.37.21.0/24     
DROP       all  --  0.0.0.0/0            0.0.0.0/0      

tcpdump -i em2 host 218.24.24.55 -nn

14:21:10.187626 IP 218.24.24.55.27845 > 159.37.21.10.80: Flags [S], seq 159907489, win 8192, options [mss 1380,nop,wscale 2,nop,nop,sackOK], length 0

aa673

ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0   

这个是对回环端口的ACCEPT，请大家不要误解

qianguozheng

问问题，要把问题描述清楚。。。。。。

aa673

服务器执行：
iptables -I INPUT -p tcp --dport 80 -j DROP

tcpdump -i em2 port 80 -nn

客户端执行
telnet xxx.xxx.xxx.xxx 80

tcpdump输出TCP SYN包， iptables为什么没有过滤掉？

aa673

服务器执行：
iptables -I INPUT -p tcp --dport 80 -j DROP

tcpdump -i em2 port 80 -nn

客户端执行
telnet xxx.xxx.xxx.xxx 80

tcpdump输出TCP SYN包， iptables为什么没有过滤掉？

Riet

那是tcp3次握手的包，你的iptables又没限制
可以试试
-p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
或者
-p tcp --sync -j DROP
但是你这样做了，还有包能进来么？

action08

讲点抽象的理论，iptables drop确实执行了，
但是tcpdump是基于网卡抓包的，网卡把数据传给内核，当然数据显示也是优先iptables执行的