Linux

Linux 上的防火牆和路由故障排除

  • August 16, 2011

是否有任何工具或 API 掛鉤可用於在 Linux 上對 iptables 或路由進行故障排除?(除了明顯的-j LOG

換句話說:當添加新規則後具有 200 或 300 條防火牆規則的表仍然不允許新流量時該怎麼辦。

或者,當一個具有十幾個網路介面的路由器對來自介面 A 的數據包進行響應時,介面 B 上。

閱讀和手動跟踪規則和表格是唯一的選擇嗎?

只是為了結束這個問題。

ynguldynzoredache(按此順序)為問題的防火牆部分提供了答案。

iptables 將列出您的所有規則以及數據包計數。這些對於確定您是否符合特定規則可能很有價值。

假設您有 200 或 300 條規則,那麼查看建構和配置防火牆的工具將是一個好主意。我喜歡Shorewall,它有一些很好的顯示功能,可以列出有關正在執行的防火牆的重要數據。我喜歡的一些功能包括:

  • 常用服務的預建宏,可以添加您自己的。
  • 易於配置區域和主機。
  • 易於為特定規則配置日誌記錄。
  • 配置文件簡單明了。
  • 1、2 和 3 個介面的可用範例配置。
  • Shorewall-lite 在不同的伺服器上分離配置。
  • Shorewall6 處理 ipv6。

我原以為有一個實用程序可以跟踪特定數據包將採用的路由,但上次我找不到它。稍微瀏覽一下 Shorewall show 命令輸出,我得到了答案。

引用自:https://serverfault.com/questions/289040