目前,iptables 正在阻止除少数已知/批准的服务之外的所有出站流量。iptables 每次阻止时都会记录一个样本(每分钟 2 次),
我正在尝试弄清楚是什么导致了 IPTable 阻止了这些请求。
Sep 17 06:30:39 [_REDACTED_] kernel: [936079.231998] iptables output drop: IN= OUT=eth0 SRC=[_REDACTED_] DST=[_REDACTED_] LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=25628 DF PROTO=TCP SPT=53657 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
我如何知道是什么提出了这个请求?
答案1
您可以使用
fuser <source_port>/tcp
或者
netstat -anp | grep :<source_port>
它应该为您提供使用本地 TCP 端口的进程的 PID(如果是 netstat,还有名称)。
您需要在 SYN_SENT 状态的连接超时之前快速捕获该连接。您甚至可以创建一个脚本来解析 iptables 日志输出并在记录连接时立即执行查找。