Чи є спосіб знайти, яке правило iptables відповідало за скидання пакета?

У мене є система, яка вже встановила брандмауер. Брандмауер складається з понад 1000 правил iptables. Одне з цих правил - це скидання пакетів, які я не хочу скидати. (Я знаю це, тому що я iptables-saveпішов за ним, iptables -Fі програма почала працювати.) Існує занадто багато правил для сортування вручну. Чи можу я щось зробити, щоб показати мені, яке правило - це скидання пакетів?

Ви можете додати правило TRACE на початку ланцюга, щоб записати кожне правило, через яке проходить пакет.

Я б розглядав можливість використання iptables -L -v -n | less щоб дозволити вам шукати правила. Я б виглядав порт; адреса; та правила інтерфейсу, які застосовуються. Зважаючи на те, що у вас є стільки правил, ви, ймовірно, використовуєте здебільшого закритий брандмауер, і вам не вистачає правила дозволу для трафіку.

Як будується брандмауер? Можливо, простіше подивитися на правила будівельника, ніж на побудовані правила.

Запустіть, iptables -L -v -nщоб побачити лічильники пакетів та байтів для кожної таблиці та кожного правила.

Оскільки iptables -L -v -nу лічильників ви можете зробити наступне.

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

Таким чином ви побачите лише ті правила, які зростали.

У моїй компанії, яку ми використовуємо watch -n 2 -d iptables -nvL, вона відображає зміни між запитами

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

Майте на увазі, це покаже лише матеріали для фільтра таблиці .

Додайте -t nat(або ту таблицю, яку ви використовуєте, крім фільтра) у свій дзвінок iptables, щоб перевірити правила.