Tengo un sistema que viene con un firewall ya en su lugar. El firewall consta de más de 1000 reglas de iptables. Una de estas reglas es descartar paquetes que no quiero descartar. (Lo sé porque lo iptables-save
seguí iptables -F
y la aplicación comenzó a funcionar). Hay demasiadas reglas para ordenarlas manualmente. ¿Puedo hacer algo para mostrarme qué regla está descartando los paquetes?
31
Respuestas:
Puede agregar una regla TRACE al principio de la cadena para registrar cada regla que atraviese el paquete.
Consideraría usar
iptables -L -v -n | less
para permitirle buscar las reglas. Yo buscaría puerto; dirección; y las reglas de interfaz que se aplican. Dado que tiene tantas reglas, es probable que esté ejecutando un firewall en su mayoría cerrado y le falte una regla de permiso para el tráfico.¿Cómo se construye el firewall? Puede ser más fácil mirar las reglas del constructor que las reglas construidas.
fuente
Ejecute
iptables -L -v -n
para ver los contadores de paquetes y bytes para cada tabla y para cada regla.fuente
sort
para ordenar las reglas por contador de paquetes.Como
iptables -L -v -n
tiene contadores, puede hacer lo siguiente.De esta manera solo verá las reglas que se incrementaron.
fuente
En mi empresa que utilizamos
watch -n 2 -d iptables -nvL
, muestra cambios entre solicitudesfuente
Tenga en cuenta que esto solo mostrará cosas para el filtro de tabla .
Agregue
-t nat
(o la tabla que use además del filtro) a su llamada de iptables, para verificar las reglas allí.fuente