Estou tentando criar um conjunto com ipset
e usá-lo em algumas regras de iptables
.
ipset
tem a opção tempo limite para definir um tempo limite de contagem regressiva para uma entrada de um conjunto para removê-lo automaticamente após um período de tempo. aqui está um exemplo:
#create a set with default timeout, zero means no timeout
ipset create myset_down iphash counters timeout 0
#add an ip to the set with 60 seconds timeout
ipset add myset_down 192.168.56.101 timeout 60
#iptables rule
iptables -A FORWARD -m set --match-set myset_up src -j ACCEPT
No exemplo acima, o ip 192.168.56.101
foi removido automaticamente do conjunto myset_down
após 60 segundos. mas eu wank tempo limite, isso significa que se nenhum pacote recebido do ip 192.168.56.101
por 60 segundos, então o ip deve ser removido do conjunto. Talvez pudesse escrever uma regra iptables
para criar esse recurso, mas não sei como!
Qualquer ideia apreciada.