Здравствуйте!
Не знаю что делать. Очень странно ведет себя лог iptables (он пишется сюда /var/log/kernw.log). Последовательность моих действий:
root@waka ~ # cat /var/log/kernw.log | grep "TEST 56556" | wc -l
0
root@waka ~ # iptables -F
root@waka ~ # iptables -A INPUT -p tcp --dport 555 -m conntrack --ctstate RELATED,ESTABLISHED -m hashlimit --hashlimit-above 10000/sec --hashlimit-mode srcip --hashlimit-name aadd -j LOG --log-prefix='[TEST 56556] '
root@waka ~ # timeout 10 tcpdump -v -n -p -w /var/script/test/123 dst host $ИП_МОЕГО_СЕРВЕРА and dst port 555
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
5714 packets captured
5715 packets received by filter
0 packets dropped by kernel
root@waka ~ # tcpdump -nr /var/script/test/123 | awk '{print $3}' | grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' | sort | uniq -c | sort -rn | head -5
reading from file /var/script/test/123, link-type EN10MB (Ethernet)
228 $ТУТ_ИП
212 $ТУТ_ИП
185 $ТУТ_ИП
169 $ТУТ_ИП
164 $ТУТ_ИП
root@waka ~ # cat /var/log/kernw.log | grep "TEST 56556" | wc -l
94
root@waka ~ #
Если за 10 секунд было получено максимально 228 пакетов с одного ип, тогда как могут в лог попадать записи, если они не удовлетворяют критериям правила (10000/сек)? Помогите разобраться, пожалуйста.