iptables. Как узнать по каким цепочкам идет пакет?

[Int_20h]

Есть ли механизм, который показывает как идет пакет через netfilter?

Хотелось бы задать параметры (например, -p tcp -s 192.168.122.100 -dport 80) и посмотреть по каким цепочкам этот пакет проходит и где он рубится.

Как это можно сделать?

[Hansolefsen]

Ну насколько я знаю, есть три цепочки - форвард, инпут и еще одна, гляньте, пожалуйста, по этой теме вот эту статью. Читать тут, можно использовать Гугол-транслейт. А почему Вы спрашиваете?

[fisher74]

А на сколько я знаю, пакет проходит строго по определённым цепочкам, что достаточно чётко описанов в Iptables Tutorial
А именно в параграфе 3.1
И, кстати, на русском языке без выывиха мозга от перевода гуглотранслейта

А правило задаёт не то как пойдёт пакет по цепочкам (потому что путь-то у него уже расписан), а какие действия с ним будут делаться.

[Hansolefsen]

Ну по идее я ошибся, в темпе пролистывал ман по айпитейблз, самое бомбезное это то, мой товарищ как-то настраивал НАТ, тоже системный администратор, в отличие от меня))))))

[fisher74]

Hansolefsen, извините конечно, но для прочтения Вашего набора слов, странно наполненного запятыми, требуется образование криптолога. После третьего, весьма внимательного прочтения понял, что мне не до конца понять смысла предыдущего поста.

[Int_20h]

Ребята, порядок того, как проходит пакет по стандартным цепочкам я знаю. Все это очень здорово написано в мануалах.

Меня интересует, какие правила прошел пакет до того, как его выбросил netfilter. А путь этот может быть о-о-о-чень длинным. Т.е. пакет заходит в первую цепочку PREROUTING, там бегает по дополнительным цепочкам, а потом проходит в цепочку FORWARD. Например:

PREROUTING:

-j jump-to-our-rules

-j section-one

-j subsection-three

-s 10.7.0.0/16 -j local-net

-s 10.7.10.0/24 -j office

-s 10.7.10.135/32 -j it-is-vasya-pupkin

-dport 80 -j http-for-vasya

ACCEPT

FORWARD:

DROP

Меня интересует механизм отладки правил iptables. Хочется видеть, как netfilter обрабатывает пакеты с заданными параметрами. Пропускает он их или выбрасывает. И если выбрасывает, то на каком правиле.

[Hansolefsen]

Сканируйте tcpdump'om

[Int_20h]

Ага. Расскажите еще, что я там увижу.

Как я через tcpdump увижу по каким конкретно цепочкам прошел пакет и какое правило его выкинуло?

Пользователь решил продолжить мысль 16 Августа 2013, 10:24:37:По-сути нужны средства для трассировки netfilter'а.

[ArcFi]

Наиболее близко из того, что можно предложить, будут счётчики и логирование:

Код: [Выделить]

iptables-save -c
iptables ... -j LOG --log-prefix "example.log"
tail -f /var/log/messages | grep "example.log"