Как можно отладить написанные правила iptables?

Question

[PsyShits]

есть сеть 10.1.1.0/24 и есть сеть провайдера пусть будет 162.1.1.0/24
в сети имеются некоторые железки со статическими адресами провайдера

шлюза смотрит одним интерфейсом в локалку (eth1) а вторым к провайдеру (eth0)

#Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
#Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.31.0/24 -j MASQUERADE
#Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

после этого железки со статикой перестают работать.
как можно посмотреть трафик проходящий через шлюз?как вообще можно отладить правила на шлюзе?

Answer 1

[CityCat4]

Трассировку правил можно выполнить через таблицу RAW, задавая действие TRACE, например (часть файла /etc/sysconfig/iptables, CentOS 6.8)

*raw
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A OUTPUT -p udp -m multiport --destination-port 500,4500 -j TRACE
-A PREROUTING -p udp -m multiport --destination-port 500,4500 -j TRACE
-A OUTPUT -p esp -j TRACE
-A PREROUTING -p esp -j TRACE

Правила были написаны для трассировки IPSec