iptables+ipset - счетчики записей

0

1

Не обновляются счетчики записей списка.

Создаю список и правило под него:

ipset create ip_set_01 hash:ip counters
iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW -j SET --add-set ip_set_01 src

С компа 192.168.1.10 делаю TCP-ping на этот узел. Получаю:

root@debian8:~# iptables -t mangle --list PREROUTING -n -v
Chain PREROUTING (policy ACCEPT 364 packets, 25005 bytes)
 pkts bytes target     prot opt in     out     source               destination
   12   608 SET        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW add-set ip_set_01 src

root@debian8:~# ipset list
Name: ip_set_01
Type: hash:ip
Revision: 3
Header: family inet hashsize 1024 maxelem 65536 counters
Size in memory: 8384
References: 1
Members:
192.168.1.10 packets 1 bytes 52

Еще раз делаю TCP-ping на этот узел. Получаю:

root@debian8:~# iptables -t mangle --list PREROUTING -n -v
Chain PREROUTING (policy ACCEPT 392 packets, 26673 bytes)
 pkts bytes target     prot opt in     out     source               destination
   15   760 SET        all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW add-set ip_set_01 src

root@debian8:~# ipset list
Name: ip_set_01
Type: hash:ip
Revision: 3
Header: family inet hashsize 1024 maxelem 65536 counters
Size in memory: 8384
References: 1
Members:
192.168.1.10 packets 1 bytes 52

Видно, что счетчик правила увеличивается, а счетчик записи ipset не увеличивается.

Подскажите пожалуйста, при каких условиях увеличивается счетчик записи ipset?

Ссылка

←	Скрипт автомонтирования webDAV и enc

Узнать о файле

→

добавление в сет не происходит если элемент уж есть ( --exist не помогает )

iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW -m set ! --match-set ip_set_01 src -j SET --add-set ip_set_01 src

vel ★★★★★
(05.07.17 21:27:51 MSK)

Ответ на: комментарий от vel 05.07.17 21:27:51 MSK

Как мне это поможет увеличивать счетчик пакетов в записи списка?

KLfer
(06.07.17 01:41:28 MSK) автор топика

Ответ на: комментарий от KLfer 06.07.17 01:41:28 MSK

--match-set увеличивает счетчик элемента списка

vel ★★★★★
(06.07.17 09:38:00 MSK)

Ответ на: комментарий от vel 06.07.17 09:38:00 MSK

Понял! Спасибо!

KLfer
(06.07.17 16:43:30 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 06.07.17 09:38:00 MSK

Подскажите, а возможно ли сделать так: - создать набор с таймаутом. например:

ipset create ip_set_01 hash:ip timeout 60 counters

- при приходе пакета сбрасывать таймаут и увеличивать счетчик.

Пока все, что ни пробовал или сбрасывает таймаут вместе со счетчиками или увеличивает счетчики, но не сбрасывает таймаут.

KLfer
(06.07.17 16:55:38 MSK) автор топика

Ответ на: комментарий от KLfer 06.07.17 16:55:38 MSK

возможно -j SET ... --exist поможет в борьбе с таймаутом

vel ★★★★★
(06.07.17 18:12:32 MSK)

Ответ на: комментарий от vel 06.07.17 18:12:32 MSK

Да, я это пробовал. Но --exist сбрасывет не только таймаут, но и счетчики. Т.е. нужна некая операция, которая по приходу пакета сбросит таймаут, но увеличит счетчики.

KLfer
(06.07.17 21:03:42 MSK) автор топика

Ответ на: комментарий от KLfer 06.07.17 21:03:42 MSK

посмотри на модуль recent. Есть подозрение, что там есть все, что тебе нужно.

vel ★★★★★
(06.07.17 21:34:48 MSK)

Ответ на: комментарий от vel 06.07.17 21:34:48 MSK

Да, я уже попробовал. Но он не подошел. Не получилось сделать так, чтобы сохранялся только счетчик пакетов (там сохраняется массив меток времени каждого обработанного пакета). Там есть ограничение на счетчик - не более 255. Задается параметром модуля ip_pkt_list_tot. Т.е. если количесво пакетов превысило ip_pkt_list_tot, то счетчик устанавливается в 1. И так по кругу.

KLfer
(06.07.17 21:56:56 MSK) автор топика

Ответ на: комментарий от KLfer 06.07.17 21:56:56 MSK

тогда возможно задача решается с помощью двух сетов - один с таймером, другой со счетчиком.

vel ★★★★★
(06.07.17 22:47:30 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Скрипт автомонтирования webDAV и enc

Admin

Узнать о файле

→

Похожие темы