Existe-t-il un moyen de trouver quelle règle iptables était responsable de la suppression d'un paquet?

J'ai un système fourni avec un pare-feu déjà en place. Le pare-feu comprend plus de 1000 règles iptables. L'une de ces règles consiste à supprimer des paquets que je ne souhaite pas supprimer. (Je le sais parce que j'ai iptables-savesuivi iptables -Fet que l'application a commencé à fonctionner.) Il y a beaucoup trop de règles à trier manuellement. Puis-je faire quelque chose pour me montrer quelle règle supprime les paquets?

Vous pouvez ajouter une règle TRACE au début de la chaîne pour enregistrer chaque règle traversée par le paquet.

J'envisagerais d'utiliser iptables -L -v -n | lesspour vous permettre de rechercher les règles. Je regarderais le port; adresse; et les règles d'interface qui s'appliquent. Étant donné que vous avez tellement de règles, vous exécutez probablement un pare-feu principalement fermé et il manque une règle d'autorisation pour le trafic.

Comment est construit le pare-feu? Il peut être plus facile de regarder les règles du générateur que les règles construites.

Exécutez iptables -L -v -npour voir les compteurs de paquets et d'octets pour chaque table et pour chaque règle.

Depuis iptables -L -v -na des compteurs, vous pouvez faire ce qui suit.

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

De cette façon, vous ne verrez que les règles incrémentées.

Dans mon entreprise que nous utilisons watch -n 2 -d iptables -nvL, il montre les changements entre les demandes

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

Gardez à l'esprit que cela ne montrera que des éléments pour le filtre de table .

Ajoutez -t nat(ou la table que vous utilisez en plus du filtre) à votre appel iptables, pour vérifier les règles.