Eu uso o tcpdump para capturar pacotes de saída para um servidor, mas também preciso bloquear esses pacotes.
Se eu usar o iptables para bloqueá-los, então eu também não consigo capturar nada.
Posso bloquear pacotes com o iptables e ainda capturar os pacotes antes que eles sejam descartados?
Eu usaria uma interface passiva (sem endereçamento) para capturar e uma segunda interface (endereçada) para bloquear.
Para configurar uma interface para captura, sem um endereço, você faz:
ifconfig eth0 up
Talvez seja necessário hackear seu switch para fazer tudo isso funcionar, mas a essência é: espelhar todo o tráfego para ambas as interfaces (ou seja, mudar de portas) e, em seguida, capturar em uma e filtrar na outra.
se eu entendi, você quer bloquear a conexão, mas capturar pacotes.
você pode fazer isso usando MARKS
por exemplo, se você quiser bloquear a conexão para o host 192.168.10.1 com conexão 192.168.10.2 (* nix), você pode fazer com isso
iptables -t mangle -A PREROUTING -s 192.168.10.1 -j CONNMARK --set-mark 1
iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j DROP
Você pode usar um conjunto de regras simples e simples para "registrar" pacotes, bem como descartá-los ou recusá-los: Snort . No entanto, existem vários pré-requisitos e ainda é outra sintaxe a aprender, portanto, há uma sobrecarga considerável. Snort :: Docs tem guias de início rápido para vários sistemas operacionais diferentes.
Você não pode bloquear pacotes no soquete bruto, porque não há filtro para ele atualmente. Acima de tudo, o socket bruto obtém o pacote, de fato, mesmo uma cópia do pacote , antes que o IPv4 toque e o iptables obtenha o deles.