这里通过增加 trace 日志的方法来跟踪数据包在 iptables 中哪一步处理出现问题的。在node2上执行如下命令，对tcp协议并且目的端口为30389的数据包从PREROUTING链增加TRACE日志，日志会输出到/var/log/messages。

iptables -t raw -A PREROUTING -p tcp --dport 30389 -j TRACE

如果你的 iptables 是 nft 版本的，那么就要使用 xtables-monitor -t

I cannot get iptables to show trace logs - Server Fault