Atualmente, estou no processo de escrever uma pequena solução que receberia continuamente a saída do comando conntrack -E e, junto com outras estatísticas, contaria / monitoraria o tráfego.
O único problema / desafio que enfrento é que, "conntrack -E" reporta pacotes e contadores de bytes somente para eventos DESTROY . Os eventos UPDATE não parecem atualizar os contadores "incrementais". Se, por exemplo, eu gostaria de cortar algum dispositivo da rede em um determinado limite, alguém poderia (teoricamente) manter a conexão TCP aberta indefinidamente e, assim, ignorar o limite atingido.
Eu procuro seu conselho sobre como mitigar esta situação. Eu estava pensando que talvez diminuir o intervalo de keepalive TCP no kernel para 10 minutos poderia ser uma solução, mas não tenho certeza se vejo todas as possíveis implicações disso.
P.S. Eu sei que eu poderia ir com outras soluções possíveis, como ulogd2 ou algo similar, mas eu preferiria a maneira como eu imaginava o começo:)