क्या पैकेट खोजने के लिए कौन सा iptables नियम जिम्मेदार था?

मेरे पास एक सिस्टम है जो पहले से ही एक फ़ायरवॉल के साथ आया है। फ़ायरवॉल में 1000 से अधिक iptables नियम हैं। इन नियमों में से एक पैकेट गिरा रहा है जिसे मैं गिरा नहीं चाहता। (मुझे पता है क्योंकि मैंने इसके iptables-saveबाद किया iptables -Fऔर एप्लिकेशन ने काम करना शुरू कर दिया।) मैन्युअल रूप से छाँटने के लिए कई नियम हैं। क्या मुझे यह दिखाने के लिए कुछ किया जा सकता है कि कौन सा नियम पैकेट को गिरा रहा है?

आप प्रत्येक नियम को भरने के लिए श्रृंखला में एक TRACE नियम जोड़ सकते हैं जो पैकेट ट्रैवर्स करता है।

मैं iptables -L -v -n | lessआपको नियमों की खोज करने के लिए उपयोग करने पर विचार करूंगा । मैं पोर्ट देखूंगा; पता; और इंटरफ़ेस नियम जो लागू होते हैं। यह देखते हुए कि आपके पास बहुत सारे नियम हैं, आप अधिकतर बंद फ़ायरवॉल चलाने की संभावना रखते हैं, और ट्रैफ़िक के लिए परमिट नियम याद कर रहे हैं।

कैसे बनाया जाता है फ़ायरवॉल? निर्मित नियमों की तुलना में बिल्डर नियमों को देखना आसान हो सकता है।

भागो iptables -L -v -nहर तालिका के लिए और हर नियम के लिए पैकेट और बाइट काउंटर को देखने के लिए।

चूंकि आपके iptables -L -v -nपास काउंटर हैं, आप निम्न कार्य कर सकते हैं।

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

इस तरह से आप केवल उन नियमों को देखेंगे जिनमें वृद्धि हुई थी।

मेरी कंपनी में हम उपयोग करते हैं watch -n 2 -d iptables -nvL, यह अनुरोधों के बीच परिवर्तन दिखाता है

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

ध्यान रखें, यह केवल टेबल फिल्टर के लिए सामान दिखाएगा ।

-t natअपने iptables कॉल में (फ़िल्टर के अलावा आप जो भी उपयोग करें) जोड़ें , वहां के नियमों की जाँच करें।