我正在计算机上运行wireshark(2.6.8)和iptables(v1.8.2 nf_tables)实例。我看到其他人可以用wireshark看到丢包:
- Wireshark 如何查看 iptables 丢弃的数据包?
- https://osqa-ask.wireshark.org/questions/4521/wireshark-see-packets-which-should-be-dropped-by-iptables
我的 iptables 配置:
iptables -F OUTPUT
iptables -F FORWARD
iptables -F INPUT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
* whitelisting some IP addresses *
iptables -A OUTPUT -j LOG
iptables -A INPUT -j LOG
我可以在日志中看到丢弃的数据包,但我当然看不到任何接口上的wireshark中的iptables丢弃的数据包。
我不确定,但这可能是因为 iptables 版本较新?
答案1
Wireshark 只能看到被丢弃的传入数据包,因为丢弃发生在稍后。对于传出数据包,iptables丢弃发生在wireshark 读取之前,因此您在wireshark 中看不到此类数据包。
可以将其wireshark视为外层(硬件),将其iptables视为内层(软件)。