Estou tentando criar um conjunto com ipset e usá-lo em algumas regras de iptables .
ipset tem a opção tempo limite para definir um tempo limite de contagem regressiva para uma entrada de um conjunto para removê-lo automaticamente após um período de tempo. aqui está um exemplo:
#create a set with default timeout, zero means no timeout
ipset create myset_down iphash counters timeout 0
#add an ip to the set with 60 seconds timeout
ipset add myset_down 192.168.56.101 timeout 60
#iptables rule
iptables -A FORWARD -m set --match-set myset_up src -j ACCEPT
No exemplo acima, o ip 192.168.56.101 foi removido automaticamente do conjunto myset_down após 60 segundos. mas eu wank tempo limite, isso significa que se nenhum pacote recebido do ip 192.168.56.101 por 60 segundos, então o ip deve ser removido do conjunto. Talvez pudesse escrever uma regra iptables para criar esse recurso, mas não sei como!
Qualquer ideia apreciada.