需求:两个 IP 组 gA gB 来源的要独立分别记录日志统计,除开这两个组的所有 IP 来源另外记录,实现规则如下
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gA src -j LOG --log-prefix "group a access: "
iptables -t mangle -A -p tcp -m tcp --dport 443 -m set --match-set gB src -j LOG --log-prefix "group b access: "
iptables -t mangle -A -p tcp -m tcp --dport 443 -j LOG --log-prefix "other access: "
现在的问题是 gA gB 的来源除了触发规则 1 或 2 还同时会触发规则 3 ,原因我看是说:LOG 是一个例外,不遵循匹配即中止的原则,虽然 ! match-set 可以这样取反但是 match-set 后面我没有看到过同时跟两条 IPset 的情况,那么这个问题有没有什么方便的办法,还是只能重新建立一个包含 gA gB 新 ipset 组来实现?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.