Скажите, а как можно узнать в каком правиле застрянет пакет? Тоесть я хочу провести ряд тестов на своём файрволе и узнать какие пакеты в каких правилах застрянут? Желательно, чтоб сами правила трогать не приходилось.

И ещё вопрос, есть какие-нибудь анализаторы логов, которые пишутся при помощи -j LOG? Глаза сломать можно читая их, хотелось бы в более удобочитаемый вид это конвертить, причём чтоб можно было их как-то сгрупировать ввиде разных статистических отчётов.

• iptables check packet destiny,perece, 16:57 , 13-Июл-06

>Скажите, а как можно узнать в каком правиле застрянет пакет? Тоесть я
>хочу провести ряд тестов на своём файрволе и узнать какие пакеты
>в каких правилах застрянут? Желательно, чтоб сами правила трогать не приходилось.
маловероятно. iptables - stateful firewall, в отличии от того же ipchains, потому -T и убрали. Т.е. один и тот же пакет может ппройти или застрять, или застрять в том или другом месте в зависимости от состояния системы - прежде всего это касается ip_conntrack. если в твоем конкретном случае все правила stateless, то можешь использовать forged-пакеты - "пробы", и следить по счетчикам в цепочках
короче, косвенными методами.
>
>И ещё вопрос, есть какие-нибудь анализаторы логов, которые пишутся при помощи -j
>LOG? Глаза сломать можно читая их, хотелось бы в более удобочитаемый
>вид это конвертить, причём чтоб можно было их как-то сгрупировать ввиде
>разных статистических отчётов.
man awk
(а также "sort | uniq -c | sort -rn" - очень полезная конструкция в анализаторах такого рода)