iptables LOG 的一些特殊问题

2023-05-11 11:50:36 +08:00
 acbot

需求:两个 IP 组 gA gB 来源的要独立分别记录日志统计,除开这两个组的所有 IP 来源另外记录,实现规则如下

  1. iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gA src -j LOG --log-prefix "group a access: "

  2. iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gB src -j LOG --log-prefix "group b access: "

  3. iptables -t mangle -A -p tcp -m tcp --dport 443 -j LOG --log-prefix "other access: "

现在的问题是 gA gB 的来源除了触发规则 1 或 2 还同时会触发规则 3 ,原因我看是说:LOG 是一个例外,不遵循匹配即中止的原则,虽然 ! match-set 可以这样取反但是 match-set 后面我没有看到过同时跟两条 IPset 的情况,那么这个问题有没有什么方便的办法,还是只能重新建立一个包含 gA gB 新 ipset 组来实现?

1181 次点击
所在节点    Linux
2 条回复
24owls
2023-05-11 13:10:01 +08:00
goto 就好了

用 iptables 而不是 nft 是有什么特殊考虑吗
acbot
2023-05-11 14:56:25 +08:00
@24owls 延承问题!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/939149

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX