มีวิธีการค้นหากฎ iptables ที่รับผิดชอบในการวางแพ็กเก็ตหรือไม่?

ฉันมีระบบที่มาพร้อมกับไฟร์วอลล์แล้ว ไฟร์วอลล์ประกอบด้วยกฎ iptables มากกว่า 1,000 กฎ หนึ่งในกฎเหล่านี้คือการทิ้งแพ็กเก็ตที่ฉันไม่ต้องการให้ทิ้ง (ฉันรู้สิ่งนี้เพราะฉันiptables-saveตามมาด้วยiptables -Fและแอปพลิเคชันเริ่มทำงาน) มีกฎมากเกินไปในการเรียงลำดับด้วยตนเอง ฉันสามารถทำบางสิ่งบางอย่างเพื่อแสดงให้ฉันเห็นกฎข้อใดที่วางแพ็กเก็ตได้หรือไม่?

คุณสามารถเพิ่มกฎการติดตามได้ตั้งแต่เนิ่น ๆ เพื่อบันทึกทุกกฎที่แพ็กเก็ตลัดเลาะ

ฉันจะพิจารณาใช้iptables -L -v -n | lessเพื่อให้คุณค้นหากฎ ฉันจะดูพอร์ต; ที่อยู่; และกฎของอินเตอร์เฟสที่ใช้ เนื่องจากคุณมีกฎมากมายที่คุณกำลังเรียกใช้ไฟร์วอลล์ที่ปิดเป็นส่วนใหญ่และไม่มีกฎใบอนุญาตสำหรับการรับส่งข้อมูล

ไฟร์วอลล์สร้างมาอย่างไร อาจดูกฎของผู้สร้างได้ง่ายกว่ากฎที่สร้างขึ้น

เรียกใช้iptables -L -v -nเพื่อดูตัวนับแพ็คเก็ตและไบต์สำหรับทุกตารางและทุกกฎ

เนื่องจากiptables -L -v -nมีเคาน์เตอร์คุณสามารถทำสิ่งต่อไปนี้

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

วิธีนี้คุณจะเห็นเฉพาะกฎที่เพิ่มขึ้น

ใน บริษัท ของฉันที่เราใช้watch -n 2 -d iptables -nvLมันจะแสดงการเปลี่ยนแปลงระหว่างคำขอ

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

โปรดทราบว่านี่จะแสดงรายการสำหรับตัวกรองตารางเท่านั้น

เพิ่ม-t nat(หรือตารางใดก็ได้ที่คุณใช้นอกเหนือจากตัวกรอง) ไปยังการโทร iptables ของคุณเพื่อตรวจสอบกฎที่นั่น