LINUX.ORG.RU
ФорумAdmin

iptables counters custom chains

 


0

2

Привет. Есть много разных кастомных цепочек в iptables в которых есть правила и которые срабатывают, но для них не считаются счетчики. Например

:class_imq0_isp1 - [0:0]
:class_imq0_isp10 - [0:0]
:class_imq0_isp11 - [0:0]

А хотелось бы видеть их. Как включить подскажите?


Какие именно счетчики?

Вот например, что пакет ушел в acceptall и отдельно для правил в acceptall. Про эти счетчики говорите?

# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  773  127K acceptall  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

...

Chain acceptall (1 references)
 pkts bytes target     prot opt in     out     source               destination         
   28  2352 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
  745  125K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

samson ★★ ()

Есть много разных кастомных цепочек в iptables в которых есть правила и которые срабатывают, но для них не считаются счетчики

Покажи результат команды iptables-save

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte
# Generated by iptables-save v1.4.21 on Mon Jun  5 22:54:24 2017
*mangle
:PREROUTING ACCEPT [492986491:479867597481]
:INPUT ACCEPT [10285491:650581175]
:FORWARD ACCEPT [482696067:479216882217]
:OUTPUT ACCEPT [10015846:710326280]
:POSTROUTING ACCEPT [492711913:479927208497]
:balancing - [0:0]
:ctstate_new_prerouting - [0:0]
:incoming - [0:0]
:vlan7_257 - [0:0]
:vlan7_257_mark - [0:0]
-A PREROUTING -m conntrack --ctstate NEW -j ctstate_new_prerouting
-A PREROUTING -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A balancing -m statistic --mode random --probability 1.00000000000 -j vlan7_257
-A ctstate_new_prerouting -m set --match-set client_net src -m set ! --match-set uplink_list_set src -j balancing
-A ctstate_new_prerouting -m set --match-set vlan7_257 src -j vlan7_257_mark
-A ctstate_new_prerouting -m set --match-set uplink_net_iface src,src -j incoming
-A vlan7_257 -m set --match-set uplink_list_set src -j RETURN
-A vlan7_257 -j SET --add-set vlan7_257 src
-A vlan7_257_mark -j SET --add-set vlan7_257 src --exist
-A vlan7_257_mark -j CONNMARK --set-xmark 0x101/0xffffffff
COMMIT
# Completed on Mon Jun  5 22:54:24 2017
# Generated by iptables-save v1.4.21 on Mon Jun  5 22:54:24 2017
*filter
:INPUT ACCEPT [54876401:3445058505]
:FORWARD ACCEPT [3025250911:3115395072891]
:OUTPUT ACCEPT [53515758:3699981662]
COMMIT
# Completed on Mon Jun  5 22:54:24 2017
# Generated by iptables-save v1.4.21 on Mon Jun  5 22:54:24 2017
*nat
:PREROUTING ACCEPT [48203242:3409212728]
:INPUT ACCEPT [25620005:1540109752]
:OUTPUT ACCEPT [72:3824]
:POSTROUTING ACCEPT [62616:3344612]
:SNAT_uplink - [0:0]
:dnat - [0:0]
:postrouting_dnat - [0:0]
-A PREROUTING -d x.x.x.x -m set --match-set dnat_ports dst -j dnat
-A OUTPUT -d x.x.x.x -m set --match-set dnat_ports dst -j dnat
-A POSTROUTING -m set --match-set uplink_net_iface dst,dst -j SNAT_uplink
-A POSTROUTING -m set --match-set client_net src -m set --match-set dnat_ports dst -j postrouting_dnat

Все что созданные в ручную цепочки с нулями.

fet4 ()
Ответ на: комментарий от fet4

Попутно спрошу. Такую конструкцию правильно понимаю

-m set --match-set client_net src -m set ! --match-set uplink_list_set src
Выбираются те у кого адрес источника есть в списке client_net и которых нет в списке uplink_list_set?

И в ipset есть такой тип list:set в нем я могу указать несколько других сетов и одновременно их всех проверять в одном агрегированном?

fet4 ()
Ответ на: комментарий от fet4

Выбираются те у кого адрес источника есть в списке client_net и которых нет в списке uplink_list_set?

да.

про list:set - да.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от samson

Идет, просто счетчики тикают в правиле из которого произошел переход, а не в самой цепочке.

vel ★★★★★ ()

Вопрос к ТС:

Имеются ввиду вывод команды iptables-save. И для чего вообще вам нужны эти счетчики? вывод iptables -vnL не более информативен?

вроде как iptables-save сделан для того, что бы сохранять сами правила.

samson ★★ ()
Ответ на: комментарий от samson

Спасибо всем за ответы.

Счетчики нужны для наглядности работы фаервола. iptables -vnL информативен но неудобен, iptables-save показывает правила, почти такими же как их вводишь в консоль, что позволяет их лучше запоминать и ориентироваться.

fet4 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.