Я пытаюсь реализовать правила IPTables для трафика на порте 443. Я хочу разрешить NEW-соединения до тех пор, пока они не достигнут ограничения по скорости, затем отбросьте их и зарегистрируйте отброшенные пакеты (я добавлю ограничение скорости на регистрация позже). Однако, с правилами, которые у меня есть, мое правило регистрации вызывается с каждым новым соединением. Я не хочу делать запись в журнале, если ограничение скорости уже не достигнуто.IPTables Rules Order
Независимо от количества поисковых запросов Google, я не могу понять этот чрезвычайно простой вопрос. I believe Я понимаю, что правило ACCEPT остановит любые последующие правила. Но размещение моего правила ведения журнала до или после того, как правило ACCEPT не имеет никакого значения - соединение все еще регистрируется.
Iptables -L -v -n следующий за ВХОД цепи:
Chain INPUT (policy DROP 2 packets, 88 bytes) pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW limit: avg 50/min burst 10
0 0 LOG tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 state NEW LOG flags 7 level 7 prefix "IPTables-50/m-Dropped: "
9 612 ACCEPT all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED