Linux
Linux 上的防火牆和路由故障排除
是否有任何工具或 API 掛鉤可用於在 Linux 上對 iptables 或路由進行故障排除?(除了明顯的
-j LOG
)換句話說:當添加新規則後具有 200 或 300 條防火牆規則的表仍然不允許新流量時該怎麼辦。
或者,當一個具有十幾個網路介面的路由器對來自介面 A 的數據包進行響應時,介面 B 上。
閱讀和手動跟踪規則和表格是唯一的選擇嗎?
只是為了結束這個問題。
iptables 將列出您的所有規則以及數據包計數。這些對於確定您是否符合特定規則可能很有價值。
假設您有 200 或 300 條規則,那麼查看建構和配置防火牆的工具將是一個好主意。我喜歡Shorewall,它有一些很好的顯示功能,可以列出有關正在執行的防火牆的重要數據。我喜歡的一些功能包括:
- 常用服務的預建宏,可以添加您自己的。
- 易於配置區域和主機。
- 易於為特定規則配置日誌記錄。
- 配置文件簡單明了。
- 1、2 和 3 個介面的可用範例配置。
- Shorewall-lite 在不同的伺服器上分離配置。
- Shorewall6 處理 ipv6。
我原以為有一個實用程序可以跟踪特定數據包將採用的路由,但上次我找不到它。稍微瀏覽一下 Shorewall show 命令輸出,我得到了答案。