¿Hay alguna manera de encontrar qué regla de iptables fue responsable de descartar un paquete?

Tengo un sistema que viene con un firewall ya en su lugar. El firewall consta de más de 1000 reglas de iptables. Una de estas reglas es descartar paquetes que no quiero descartar. (Lo sé porque lo iptables-saveseguí iptables -Fy la aplicación comenzó a funcionar). Hay demasiadas reglas para ordenarlas manualmente. ¿Puedo hacer algo para mostrarme qué regla está descartando los paquetes?

Puede agregar una regla TRACE al principio de la cadena para registrar cada regla que atraviese el paquete.

Consideraría usar iptables -L -v -n | lesspara permitirle buscar las reglas. Yo buscaría puerto; dirección; y las reglas de interfaz que se aplican. Dado que tiene tantas reglas, es probable que esté ejecutando un firewall en su mayoría cerrado y le falte una regla de permiso para el tráfico.

¿Cómo se construye el firewall? Puede ser más fácil mirar las reglas del constructor que las reglas construidas.

Ejecute iptables -L -v -npara ver los contadores de paquetes y bytes para cada tabla y para cada regla.

Como iptables -L -v -ntiene contadores, puede hacer lo siguiente.

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

De esta manera solo verá las reglas que se incrementaron.

En mi empresa que utilizamos watch -n 2 -d iptables -nvL, muestra cambios entre solicitudes

watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

Tenga en cuenta que esto solo mostrará cosas para el filtro de tabla .

Agregue -t nat(o la tabla que use además del filtro) a su llamada de iptables, para verificar las reglas allí.