← retour aux snippets

nft monitor trace: suivre le trajet d'un paquet

Activer le tracing et afficher les matches/saute-règles pour comprendre un DROP/ACCEPT.

bash security #nft#trace#firewall

objectif

Voir précisément quelle règle touche un paquet et pourquoi il est drop ou accepté.

code minimal

# activer le tracing
echo 1 | sudo tee /proc/sys/net/netfilter/nf_log_all_netns >/dev/null
sudo nft monitor trace |& tee /tmp/nft-trace.log

utilisation

# générer un paquet test (dans une autre console)
curl -s http://127.0.0.1:8080 >/dev/null

variante(s) utile(s)

# tracer une chaîne spécifique
sudo nft monitor trace | grep -E 'hook|input|output'

notes

  • verbeux; activez temporairement en debug.
  • désactivez le tracing ensuite (sysctl à 0).