내 컴퓨터에서 Wireshark(2.6.8) 및 iptables(v1.8.2 nf_tables) 인스턴스를 실행하고 있습니다. 나는 다른 사람들이 Wireshark를 사용하여 패킷 손실을 볼 수 있다는 것을 보았습니다.
- Wireshark에서 iptables 삭제 패킷을 보는 방법은 무엇입니까?
- https://osqa-ask.wireshark.org/questions/4521/wireshark-see-packets-which-should-be-dropped-by-iptables
내 iptables 구성:
iptables -F OUTPUT
iptables -F FORWARD
iptables -F INPUT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
* whitelisting some IP addresses *
iptables -A OUTPUT -j LOG
iptables -A INPUT -j LOG
로그에서 삭제된 패킷을 볼 수 있지만 물론 모든 인터페이스의 Wireshark에 있는 iptables에서 삭제된 패킷을 볼 수는 없습니다.
확실하지는 않지만 최신 iptables 버전 때문일까요?
답변1
삭제는 나중에 발생하므로 Wireshark는 삭제된 수신 패킷만 볼 수 있습니다. 나가는 패킷의 경우 iptablesWireshark가 읽기 전에 삭제가 발생하므로 Wireshark에서는 이러한 패킷을 볼 수 없습니다.
wireshark외부 레이어(하드웨어)라고 생각 하고 iptables내부 레이어(소프트웨어)라고 생각하세요.