debug-firewall

debug-firewall 技能是开发人员与安全工程师在使用 Agentic Workflow Firewall (AWF) 时的关键运维工具。它为在 AWF 加固的 Docker 环境中执行命令时出现的连接问题提供了系统化的检查、监控与解决框架。通过此技能，用户能诊断网络请求被阻挡的原因、验证 Squid 代理流量路由的完整性，并确保 iptables 规则在 awf-squid 与 awf-agent 容器间得到正确实施。本工具对于验证域名白名单、排查 DNS 解析失败以及验证通过代理 sidecar 进行的敏感 API 凭证隔离特别有效。它架起了高层架构原则与底层系统执行之间的桥梁，提供了维持安全且网络隔离的智能体工作流所需的观测能力。

• 实时检查 awf-squid 与 awf-agent 容器的状态与生命周期事件。

• 直接的日志分析功能，包括过滤 Squid 访问日志中的 TCP_DENIED 响应，以识别被阻挡的域名模式。

• 验证主机与容器层级的 iptables 规则，包括控制流量的 NAT 与过滤链。

• 在受限容器环境中使用如 nc (netcat) 等诊断工具进行网络连线测试。

• 自动发现不同执行模式下的保留日志位置，支持容器清理后的事后调试。

• 深入了解代理配置、环境变量注入与凭证隔离策略。

• 使用此技能调查非预期的请求拒绝，方法是检查 Squid 访问日志的第三列以寻找被阻挡的 Host 标头。

• 利用调试模式工作流 (awf --keep-containers) 在完成代理脚本前暂停执行并手动探测网络堆栈。

• 通过 dmesg 监控内核层级的防火墙事件，以检测代理程序可见范围之外的封包丢失或 DNS 解析问题。

• 此工具需要 root 或 sudo 权限以访问 iptables、Docker 守护程序操作与内核日志；请确保您的环境已配置授权的系统管理访问权限。

• 适用于具备 Docker 20.10+ 与 Docker Compose v2 的 Ubuntu 22.04+ 或兼容之 Linux 发行版。