Você pode depurar as regras do netfilter ativando o alvo TRACE:
Primeiro carregue o módulo do kernel relevante para logar diretamente no syslog:
modprobe -i ipt_LOG
Em seguida, crie uma regra para registrar todo o tráfego de seu sistema com comportamento inadequado:
iptables -t raw -A PREROUTING --source 172.16.0.9 -p tcp -j TRACE
Os pacotes são registrados com o prefixo de string: TRACE: tablename:chain-
name:type:rulenum
onde tipo pode ser "rule" para regra simples, "return" para regra implícita no final de uma cadeia definida pelo usuário e "policy" para a política do build em cadeias.
O rulenum pode ser encontrado com iptables -L --line-numbers