Talvez alguém tenha uma resposta melhor, mas aqui está a minha.
-
Crie uma regra idêntica, mas uma cujo destino seja
LOG
em vez deACCEPT
ouDROP
etc. Essa regra vem antes daquela que você deseja testar.iptables -I OUTPUT -s 192.168.100.10 -p tcp --dport 22 -j LOG --log-level info
Você pode encontrar a saída do log onde quer que os logs do kernel sejam direcionados. (Se você não sabe, é outra pergunta.) Use
tail -f
nesse arquivo enquanto você está tentando alcançar a porta do outro host. -
Depois que a regra estiver em vigor e como sugerido por / u / richard, você usou
nmap
ou alguma outra ferramenta para tentar alcançar a porta testada, executariptables
com-v
e-x
opções para ver a contagens exatas de pacotes que atingiram cada regra. Eu uso:iptables -L OUTPUT -nvx
Digamos que a regra seja a 6ª na lista. Você pode monitorar apenas aquele usando o prático programa
watch
:watch -n 0.5 iptables -L OUTPUT 6 -nvx
que atualizará a exibição a cada 1/2 segundo.