tcpdump vê o tráfego de entrada antes de atingir o iptables . No seu exemplo acima, isso explica por que você vê os SYNs de entrada, mas não os SYN / ACKs da sua máquina.
Eu tenho a seguinte regra em nosso arquivo de configuração do iptables / etc / sysconfig / iptables
-A INPUT -s 84.23.99.97 -j DROP
E quando eu faço iptables --list eu recebo o seguinte
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- 84.23.99.97 anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
No entanto, se eu fizer um tcpdump ainda posso ver todo esse tráfego deste ip, por quê?
tcpdump -ttttn tcp port 1234 | grep 84.23.99.97
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
2010-10-21 23:49:33.828011 IP 84.23.99.97.9061 > myip: Flags [S], seq 3522466008, win 65535, options [mss 1460,sackOK,eol], length 0
2010-10-21 23:49:33.832182 IP 84.23.99.97.64804 > myip: Flags [S], seq 1088176500, win 65535, options [mss 1460,sackOK,eol], length 0
....
tcpdump vê o tráfego de entrada antes de atingir o iptables . No seu exemplo acima, isso explica por que você vê os SYNs de entrada, mas não os SYN / ACKs da sua máquina.
Você precisa salvar suas regras. Talvez você tenha, mas não mencionou? Se não tentar isso: % sudo / sbin / service iptables salvar
Isso exporta as regras usadas atualmente e inicia o firewall. Independentemente do que você tenha em / etc / sysconfig / iptables, isso informará o que o firewall está realmente usando.
Tags networking iptables ip linux tcp