Como gerenciar os dados de origem para a opção iptables -v?

3

Se eu executar o comando iptables -nvL no meu servidor VPS executando o Ubuntu, recebo uma saída como (a saída é muito maior - só mostrei as partes interessantes)

$ sudo iptables -nvL

Chain INPUT (policy DROP 41439 packets, 2499K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       91.234.36.0/24       0.0.0.0/0           
    0     0 DROP       all  --  *      *       223.255.252.0/23     0.0.0.0/0
    0     0 DROP       all  --  *      *       1.0.1.0/24           0.0.0.0/0           
 3102  261K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
 174K   54M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
  495 26116 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  331 14756 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
   26  1468 LOG        all  --  *      *       0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 7 prefix "iptables denied: "

Às vezes, quando executo este comando, recebo resultados como

(policy DROP 41439 packets, 2499K bytes)

mas depois outras vezes - de dentro do mesmo shell - os dados são redefinidos de volta a zero e parece começar a contar novamente. por exemplo,

(policy DROP 2 packets, 9K bytes)

Se eu alternar para um shell diferente, receberei os mesmos dados do último shell.
Minha pergunta é

  • De onde o iptables está obtendo essas informações?
    • arquivos de log?
    • começa a rastrear internamente a partir da primeira chamada de iptables -nvL ?
  • Como posso garantir que os dados não voltem a zero?
por the_velour_fog 01.02.2016 / 02:24

1 resposta

2

Os Iptables mantêm uma contagem (por cadeia) de pacotes processados. Essas duas opções podem ser usadas para alterar a contagem:

-Z, --zero [chain [rulenum]] Zero the packet and byte counters in all chains, or only the given chain, or only the given rule in a chain.

-c, --set-counters packets bytes This enables the administrator to initialize the packet and byte counters of a rule (during INSERT, APPEND, REPLACE operations).

Entenda que algum outro processo que chame iptables para executar operações INSERT, APPEND ou REPLACE também mudará a contagem de pacotes.

    
por 01.02.2016 / 03:16

Tags