Mam system, który jest już wyposażony w zaporę ogniową. Firewall składa się z ponad 1000 reguł iptables. Jedną z tych zasad jest upuszczanie pakietów, których nie chcę upuszczać. (Wiem o tym, ponieważ zrobiłem to, iptables-save
a iptables -F
aplikacja zaczęła działać.) Istnieje zbyt wiele reguł, aby ręcznie sortować. Czy mogę coś zrobić, aby pokazać mi, która reguła odrzuca pakiety?
31
Odpowiedzi:
Możesz dodać regułę TRACE na początku łańcucha, aby rejestrować każdą regułę, którą przechodzi pakiet.
Zastanowiłbym się, by
iptables -L -v -n | less
pozwolić ci przeszukać reguły. Szukałbym portu; adres; i obowiązujące reguły interfejsu. Biorąc pod uwagę, że masz tak wiele reguł, prawdopodobnie używasz głównie zamkniętej zapory i brakuje Ci reguły zezwolenia na ruch.Jak zbudowana jest zapora ogniowa? Łatwiej przyjrzeć się regułom konstruktora niż regułom budowanym.
źródło
Uruchom,
iptables -L -v -n
aby zobaczyć liczniki pakietów i bajtów dla każdej tabeli i każdej reguły.źródło
sort
do sortowania reguł według licznika pakietów.Ponieważ
iptables -L -v -n
ma liczniki, możesz wykonać następujące czynności.W ten sposób zobaczysz tylko reguły, które wzrosły.
źródło
W mojej firmie, której używamy
watch -n 2 -d iptables -nvL
, pokazuje zmiany między żądaniamiźródło
Pamiętaj, że pokaże to tylko elementy dla filtru tabeli .
Dodaj
-t nat
(lub dowolną tabelę, której używasz oprócz filtru) do swojego wywołania iptables, aby sprawdzić tam reguły.źródło