ipfw fwd loopback + tcpdump

fwd 192.168.1.10:1005 log tcp from any to any 1005 via $if_name

1. Включите логирование log в данном случае, как минимум поймете что там вообще что-то происходит.

tail -f /var/log/security

2. Укажите конкретный интерфейс, что бы ловить это tcpdump-ом.

log это понятно, тогда оно в виртуальном интерфейсе ipfw0 появится, но я думал что оно и без логов где-то должно быть, как для любых не-локалхостовых пакетов.

via $if_name это не для tcpdump-а же, это просто один из критериев матча пакетов, или тут оно как-то по особенному работает?

Нет, не по особому, но вы точно отправите трафик по нужному интерфейсу и тогда будут гарантирован интерфейс на котором можно будет слушать и смотреть.

Что касается логов, от нет, без логов нигде не будет, т.к. фильтр будет пытаться обработать пакет и в случае неудачи просто сбросит его на дефолтном правиле.

Я не очень понимаю связи между моим вопросом и этим ответом. Уточню.

Физические интерфейсы тут не участвуют - пакет пересылается внутри одного компа, хоть айпи-адреса и забиндены на один из ethernet-ов. Если правила fwd нет - то пакет виден на lo0, слать его на любой другой интерфейс - полностью бесполезная затея (он там потеряется), но их я тоже смотрел и его там предсказуемо не было.

Неудачи тут не происходит, пакет доходит по назначению (до приложения, если оно слушает порт), и в т.ч. всё что указано в fwd - применяется (там можно указать смену порта/адреса назначения на другой локальный).