কোন iptables নিয়ম একটি প্যাকেট নামানোর জন্য দায়ী ছিল তা খুঁজে পাওয়ার কোনও উপায় আছে?


31

আমার একটি সিস্টেম রয়েছে যা ইতিমধ্যে জায়গায় ফায়ারওয়াল নিয়ে এসেছিল। ফায়ারওয়াল 1000 এরও বেশি iptables নিয়ম নিয়ে গঠিত। এই নিয়মের একটি হ'ল প্যাকেটগুলি বাদ দেওয়া আমি চাই না dropped (আমি এটি জানি কারণ আমি iptables-saveঅনুসরণ করেছিলাম iptables -Fএবং অ্যাপ্লিকেশনটি কাজ শুরু করেছিল)) ম্যানুয়ালি মেশিন দিয়ে সাজানোর অনেকগুলি নিয়ম রয়েছে। কোন নিয়মটি প্যাকেটগুলি বাদ দিচ্ছে তা দেখানোর জন্য আমি কিছু করতে পারি?


1
fedorahosted.org/DPwatch ভবিষ্যতে সহায়ক হতে পারে।
শন জে গফ

রিয়েল টাইম ব্যবহার করে কাউন্টারগুলি আপডেট দেখতে <br/> <code> iptables -L -v -n </code> দেখুন
ক্রিস গিব

উত্তর:


19

প্যাকেটটি ট্র্যাভার করে এমন প্রতিটি নিয়ম লগ করতে আপনি শৃঙ্খলায় খুব শীঘ্রই একটি ট্র্যাক নিয়ম যুক্ত করতে পারেন।

আমি আপনাকে iptables -L -v -n | lessনিয়মগুলি সন্ধান করতে ব্যবহার করে বিবেচনা করব । আমি বন্দর দেখতে হবে; ঠিকানা; এবং প্রযোজ্য ইন্টারফেসের বিধিগুলি। প্রদত্ত যে আপনার অনেকগুলি বিধি রয়েছে আপনি সম্ভবত বেশিরভাগ বন্ধ ফায়ারওয়াল চালাচ্ছেন এবং ট্র্যাফিকের জন্য কোনও অনুমতি বিধি অনুপস্থিত।

ফায়ারওয়াল কীভাবে নির্মিত? বিল্ড বিধিগুলির চেয়ে বিল্ডার বিধিগুলি দেখতে আরও সহজ হতে পারে।


এই প্রশ্নটি জিজ্ঞাসা করার পরে আমি বুঝতে পেরেছিলাম যে বিধিগুলি এপিএফ থেকে রয়েছে, এবং আমি এটি ঠিক করতে সক্ষম হয়েছি। যদিও আমি ট্র্যাক লক্ষ্য পছন্দ করি love এটি খুব কার্যকর হত।
শন জে গফ

2
ট্র্যাক টার্গেট ব্যবহারের একটি উদাহরণ এখানে রয়েছে: serverfault.com/questions/122157/debugger- for-iptables/…
slm

14

iptables -L -v -nপ্রতিটি টেবিলের জন্য এবং প্রতিটি নিয়মের জন্য প্যাকেট এবং বাইট কাউন্টারগুলি দেখতে চালান ।


এটি ভাল, আমি 1000 টি নিয়ম এবং বাদ পড়ে থাকা প্যাকেটগুলির বেশ কয়েকটি বিধায় আরও ভাল কিছু আশা করছি।
শন জে গোফ

sortপ্যাকেট কাউন্টার দ্বারা বিধি বাছাই করতে ব্যবহার করুন ।
নিনজালজ

13

যেহেতু iptables -L -v -nকাউন্টার রয়েছে আপনি নিম্নলিখিতটি করতে পারেন।

iptables -L -v -n > Sample1
#Cause the packet that you suspect is being dropped by iptables
iptables -L -v -n > Sample2
diff Sample1 Sample2

এইভাবে আপনি কেবলমাত্র বৃদ্ধি হওয়া নিয়মগুলি দেখতে পাবেন।



5
watch -n1 -d "iptables -vnxL | grep -v -e pkts -e Chain | sort -nk1 | tac | column -t"

মনে রাখবেন, এটি কেবল টেবিল ফিল্টারের জন্য স্টাফ প্রদর্শন করবে ।

যোগ -t nat(অথবা যেটা টেবিল আপনি ফিল্টার ব্যতীত ব্যবহার করুন) আপনার iptables- র কলে, সেখানে নিয়ম করো।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.