debug-firewall

debug-firewall 技能是供開發人員與資安工程師使用 Agentic Workflow Firewall (AWF) 時的關鍵作業工具。它為在 AWF 強化的 Docker 環境中執行指令時出現的連接問題提供了系統化的檢查、監控與解決框架。透過此技能，使用者能診斷網路請求被阻擋的原因、驗證 Squid 代理流量路由的完整性，並確保 iptables 規則在 awf-squid 與 awf-agent 容器間正確實施。本工具對於驗證網域白名單、排查 DNS 解析失敗以及驗證透過代理 sidecar 進行的敏感 API 憑證隔離特別有效。它連接了高層次架構原則與低層級系統執行，提供維持安全且網路隔離的代理工作流所需的觀測能力。

• 即時檢查 awf-squid 與 awf-agent 容器的狀態與生命週期事件。

• 直接的日誌分析功能，包含過濾 Squid 存取日誌中的 TCP_DENIED 回應，以識別被阻擋的網域模式。

• 驗證主機與容器層級的 iptables 規則，包含控制流量的 NAT 與過濾鏈。

• 在受限容器環境中使用如 nc (netcat) 等診斷工具進行網路連線測試。

• 自動發現不同執行模式下的保留日誌位置，支援容器清理後的後續除錯。

• 深入瞭解代理配置、環境變數注入與憑證隔離策略。

• 使用此技能調查非預期的請求拒絕，方法是檢查 Squid 存取日誌的第三欄以尋找被阻擋的 Host 標頭。

• 利用除錯模式工作流 (awf --keep-containers) 在完成代理腳本前暫停執行並手動探測網路堆疊。

• 透過 dmesg 監控核心層級的防火牆事件，以偵測代理程式可見度範圍之外的封包遺失或 DNS 解析問題。

• 此工具需要 root 或 sudo 權限以存取 iptables、Docker 守護程序操作與核心日誌；請確保您的環境已設定授權的系統管理存取權。

• 適用於具備 Docker 20.10+ 與 Docker Compose v2 的 Ubuntu 22.04+ 或相容之 Linux 發行版。