Можно ли просмотреть или включить журнал, который показывает, какие запросы блокирует iptables? Я пытаюсь отследить запрос, который блокирует iptables, но этого не должно быть (из-за правила исключения, которое я установил для него).
Вообще говоря, это делается с помощью цели -j LOG перед целью -j DROP.
Например, у вас есть правило, которое блокирует входящие ssh-запросы с определенного IP-адреса.
/sbin/iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -d <external IP on firewall> --dport 22 -j DROP
вы бы изменили свою конфигурацию и добавили правило чуть выше этого, которое выглядит следующим образом:
/sbin/iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -d <external IP on firewall> --dport 22 -j LOG
вы также можете посмотреть на --log-prefix= опция, которая позволит вам добавлять в журнал заметки (не много).
Да. Вы можете отправить пакеты в цель ULOG, прежде чем отклонять их, и настроить ulogd для сохранения их в файле в формате pcap, чтобы их можно было прочитать с помощью tcpdump или wirehark. Видеть http://www.netfilter.org/projects/ulogd/