Estoy intentando escribir un 22MB iptables archivo de conjunto de reglas, el mismo tipo que se genera con el iptables-save comando, excepto infinitamente largo. Comprensiblemente, esto lleva un tiempo prohibitivo. Toma este ejemplo en miniatura.
*filter
:INPUT ACCEPT [64:4692]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [72:28512]
-A INPUT -p tcp -m tcp --sport 9000:9004 -m iprange --src-range 127.0.0.1-127.0.0.1 -j DROP
COMMIT
Siguiendo (INPUT|OUTPUT|FORWARD) ACCEPT, aparecen rangos de valores.
: & lt; nombre de cadena & gt; & lt; política de la cadena & gt; [& lt; contador de paquetes & gt;: & lt; contador de bytes & gt;]
Estos parecen dependientes de algo ya almacenado dentro iptables en el uso de iptables-save, pero, desde la carga de las reglas en iptables En primer lugar, es el problema. No estoy seguro de cómo adquirir estos valores, por lo que puedo ingresarlos manualmente (por medio de vim, en su lugar) en el archivo final de conjunto de reglas.
¿Cómo podría uno ir sobre el cálculo de estos valores? ¿Es posible sin correr otro? iptables ¿mando?
nfblockLo que hará tu vida mucho más fácil.Respuestas:
A menos que esté utilizando los contadores en una de sus reglas, o necesite los contadores para algún otro propósito (facturación, etc.), simplemente los omitiré de la siguiente manera:
Es posible ver los valores de contador actuales usando el iptables --list mando.
Tenga en cuenta que los contadores cambian a medida que los paquetes pasan por las cadenas de reglas, por lo que tan pronto como lea los contadores, un paquete entrante o saliente podrá cambiarlos.
fuente