Linux 上的防火牆和路由故障排除

是否有任何工具或 API 掛鉤可用於在 Linux 上對 iptables 或路由進行故障排除？（除了明顯的-j LOG）

換句話說：當添加新規則後具有 200 或 300 條防火牆規則的表仍然不允許新流量時該怎麼辦。

或者，當一個具有十幾個網路介面的路由器對來自介面 A 的數據包進行響應時，介面 B 上。

閱讀和手動跟踪規則和表格是唯一的選擇嗎？

只是為了結束這個問題。

ynguldyn和zoredache（按此順序）為問題的防火牆部分提供了答案。

iptables 將列出您的所有規則以及數據包計數。這些對於確定您是否符合特定規則可能很有價值。

假設您有 200 或 300 條規則，那麼查看建構和配置防火牆的工具將是一個好主意。我喜歡Shorewall，它有一些很好的顯示功能，可以列出有關正在執行的防火牆的重要數據。我喜歡的一些功能包括：

• 常用服務的預建宏，可以添加您自己的。
• 易於配置區域和主機。
• 易於為特定規則配置日誌記錄。
• 配置文件簡單明了。
• 1、2 和 3 個介面的可用範例配置。
• Shorewall-lite 在不同的伺服器上分離配置。
• Shorewall6 處理 ipv6。

我原以為有一個實用程序可以跟踪特定數據包將採用的路由，但上次我找不到它。稍微瀏覽一下 Shorewall show 命令輸出，我得到了答案。

引用自：https://serverfault.com/questions/289040