Czy istnieje sposób, aby sprawdzić, która reguła iptables była odpowiedzialna za upuszczenie pakietu?

Mam system, który jest już wyposażony w zaporę ogniową. Firewall składa się z ponad 1000 reguł iptables. Jedną z tych zasad jest upuszczanie pakietów, których nie chcę upuszczać. (Wiem o tym, ponieważ zrobiłem to, iptables-savea iptables -Faplikacja zaczęła działać.) Istnieje zbyt wiele reguł, aby ręcznie sortować. Czy mogę coś zrobić, aby pokazać mi, która reguła odrzuca pakiety?

Możesz dodać regułę TRACE na początku łańcucha, aby rejestrować każdą regułę, którą przechodzi pakiet.

Zastanowiłbym się, by iptables -L -v -n | lesspozwolić ci przeszukać reguły. Szukałbym portu; adres; i obowiązujące reguły interfejsu. Biorąc pod uwagę, że masz tak wiele reguł, prawdopodobnie używasz głównie zamkniętej zapory i brakuje Ci reguły zezwolenia na ruch.

Jak zbudowana jest zapora ogniowa? Łatwiej przyjrzeć się regułom konstruktora niż regułom budowanym.

Uruchom, iptables -L -v -naby zobaczyć liczniki pakietów i bajtów dla każdej tabeli i każdej reguły.

Ponieważ iptables -L -v -nma liczniki, możesz wykonać następujące czynności.

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

W ten sposób zobaczysz tylko reguły, które wzrosły.

W mojej firmie, której używamy watch -n 2 -d iptables -nvL, pokazuje zmiany między żądaniami

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

Pamiętaj, że pokaże to tylko elementy dla filtru tabeli .

Dodaj -t nat(lub dowolną tabelę, której używasz oprócz filtru) do swojego wywołania iptables, aby sprawdzić tam reguły.