这是一个创建于 547 天前的主题,其中的信息可能已经有所发展或是发生改变。
需求:两个 IP 组 gA gB 来源的要独立分别记录日志统计,除开这两个组的所有 IP 来源另外记录,实现规则如下
-
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gA src -j LOG --log-prefix "group a access: "
-
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gB src -j LOG --log-prefix "group b access: "
-
iptables -t mangle -A -p tcp -m tcp --dport 443 -j LOG --log-prefix "other access: "
现在的问题是 gA gB 的来源除了触发规则 1 或 2 还同时会触发规则 3 ,原因我看是说:LOG 是一个例外,不遵循匹配即中止的原则,虽然 ! match-set 可以这样取反但是 match-set 后面我没有看到过同时跟两条 IPset 的情况,那么这个问题有没有什么方便的办法,还是只能重新建立一个包含 gA gB 新 ipset 组来实现?
第 1 条附言 · 2023-05-11 15:48:25 +08:00
通过再次搜索,找到了多个 -m set 介绍,其实直接在一个规则中写入多个就可以了,既:
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set ! --match-set gA src -m set ! --match-set gB src -j LOG --log-prefix "other access: "
目前测试没有问题!
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set ! --match-set gA src -m set ! --match-set gB src -j LOG --log-prefix "other access: "
目前测试没有问题!
 |
1
24owls 2023-05-11 13:10:01 +08:00 via iPhone
goto 就好了
用 iptables 而不是 nft 是有什么特殊考虑吗 |
Select Language