В настоящее время iptables блокирует весь исходящий трафик, за исключением нескольких известных / одобренных услуг. iptables регистрирует выборку каждой блокировки (2 / мин),
Я пытаюсь выяснить, что делает запросы, которые блокирует IPTable.
Sep 17 06:30:39 [_REDACTED_] kernel: [936079.231998] iptables output drop: IN= OUT=eth0 SRC=[_REDACTED_] DST=[_REDACTED_] LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=25628 DF PROTO=TCP SPT=53657 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
Как мне выяснить, что делает этот запрос?
Вы можете использовать либо
fuser <source_port>/tcp
или
netstat -anp | grep :<source_port>
который должен дать вам PID (а в случае netstat также и имя) процесса, использующего локальный порт TCP.
Вам нужно достаточно быстро поймать соединение в состоянии SYN_SENT, прежде чем оно истечет. Вы даже можете создать сценарий, который будет анализировать вывод журнала iptables и выполнять поиск сразу после регистрации соединения.