https://kb.rvmgroup.it/index.php?action=history&feed=atom&title=Debug_di_regole_IptablesDebug di regole Iptables - Revision history2026-05-09T20:42:40ZRevision history for this page on the wikiMediaWiki 1.44.2https://kb.rvmgroup.it/index.php?title=Debug_di_regole_Iptables&diff=8209&oldid=prevGabriele.vivinetto: Created page with "Ogni pacchetto dal kernel 2.6.23 in poi, attraversa la tabella ''raw'', che ha un target particolare ''TRACE'' Ipotizziamo di coler loggare tutti i pacchetti provenienti dall'ho…"2011-12-09T13:35:34Z<p>Created page with "Ogni pacchetto dal kernel 2.6.23 in poi, attraversa la tabella ''raw'', che ha un target particolare ''TRACE'' Ipotizziamo di coler loggare tutti i pacchetti provenienti dall'ho…"</p>
<p><b>New page</b></p><div>Ogni pacchetto dal kernel 2.6.23 in poi, attraversa la tabella ''raw'', che ha un target particolare ''TRACE''<br />
<br />
Ipotizziamo di coler loggare tutti i pacchetti provenienti dall'host 1.2.3.4 destinati alla porta 8000<br />
<br />
* Caricare i moduli per il logging di iptables:<br />
sudomodproble ipt_LOG<br />
<br />
* Definire che pacchetti si vogliono loggare, inserendoli in entrambe le chain OUTPUT e PREROUTING<br />
sudo iptables -t raw -A PREROUTING -p tcp --dport 8000 -s 1.2.3.4 -j TRACE<br />
sudo iptables -t raw -A OUTPUT -p tcp --dport 8000 -s 1.2.3.4 -j TRACE<br />
<br />
* Ora in syslog si vedrà un output del tipo (formattato...) che indica che il pacchetto è loggato:<br />
<pre><br />
TRACE: raw:PREROUTING:policy:2<br />
IN=eth1<br />
OUT= MAC=00:06:7b:03:7f:89:84:c9:b2:82:18:1a:08:00<br />
SRC=1.2.3.4<br />
DST=5.6.7.8<br />
LEN=52 TOS=0x10 PREC=0x00 TTL=55 ID=50604 DF PROTO=TCP SPT=34953<br />
DPT=8000<br />
SEQ=1670740955 ACK=1467539518 WINDOW=229 RES=0x00 ACK URGP=0 OPT (0101080A0084E5D9017E96F9)<br />
</pre><br />
<br />
* Qui dice che transita dalla chain FORWARD passando dalla regola 8:<br />
<pre><br />
TRACE: filter:FORWARD:rule:8<br />
IN=eth1<br />
OUT=eth0<br />
SRC=1.2.3.4<br />
DST=7.8.9.10<br />
LEN=52 TOS=0x10 PREC=0x00 TTL=54 ID=50604 DF PROTO=TCP SPT=34953<br />
DPT=8000<br />
SEQ=1670740955 ACK=1467539518 WINDOW=229 RES=0x00 ACK URGP=0 OPT (0101080A0084E5D9017E96F9)<br />
</pre><br />
<br />
* Nel caso non ci sia la rule: ma policy: significa che il pacchetto è stato matchato da una POLICY della chain.<br />
<br />
* Per vedere la rule interessata:<br />
sudo iptables -t tablename -v -L CHAINNAME RULENUMBER<br />
<br />
* Ad esempio per vedere la regola 3 della tabella nat nella chain PREROUTING<br />
sudo iptables -t nat -v -L PREROUTING 3<br />
<br />
* '''IMPORTANTE''': Al termine, eliminare le regole di tracing impostate, sostituendo al -A il -D, altrimenti '''ALTRIMENTI IL SYSLOG SI RIEMPIRÀ'''<br />
<br />
sudo iptables -t raw -D PREROUTING -p tcp --dport 8000 -s 1.2.3.4 -j TRACE<br />
sudo iptables -t raw -D OUTPUT -p tcp --dport 8000 -s 1.2.3.4 -j TRACE<br />
<br />
==Riferimenti==<br />
*[http://backreference.org/2010/06/11/iptables-debugging/ iptables debugging « \1]</div>Gabriele.vivinetto