имея довольно сложную обработку OUTPUT на iptables , как можно захватывать / отображать (по крайней мере, аналогично тому, как tcpdump их захватывает) пакеты, которые должны были быть оставлены через интерфейс, но вместо этого выполняются DROP ped в различных местах iptables OUTPUT / FORWARD цепная обработка?
(поскольку эти пакеты не появляются на физическом интерфейсе, возможно, нельзя использовать tcpdump , верно? )
(лучшее, что я мог придумать, это изменить во всех iptables цель "DROP" на что-то, что перенаправляло бы все такие отбрасываемые пакеты на виртуальный / поддельный интерфейс, и запускать tcpdump на этом интерфейсе - это просто похоже на много работы, хотя, и я до сих пор не понимаю, как заставить ТОЛЬКО такие пакеты отправляться на этот поддельный интерфейс - "маршрут" приведет к тому, что ВСЕ пакеты для таких IP-адресов перейдут на подделку, но мне нужно только, чтобы быть DROP отправлять туда пакеты)
обновление: смущенный почти такой же Q был задан уже на другом форуме и ответил на https://unix.stackexchange.com/questions/174107/record-contents-of-packets-dropped-in-iptables /embarrassed ; единственное улучшение, которое я мог бы попросить, - это не помещать правило журнала NFLOG перед / вместо каждого возможного правила DROP . Любой берущий?