특정 포트에서 dnat를 사용하여 "유형 nat 후크 사전 라우팅" 체인의 규칙에 대한 카운터를 설정하면 카운터는 해당 규칙에 대한 초기 패킷만 계산하고 더 이상 동일한 conntrack의 후속 패킷을 계산하지 않습니다.
정방향 후크에 카운터를 설정할 수 있지만 이는 포스트 DNA 대상 IP/포트를 기반으로 해야 합니다. 하지만 다른 IP/포트를 동일한 대상 IP/포트로 연결할 수 있기 때문에 dnat 이전에 IP/포트에 카운터를 적용하고 싶고 이전에 대상 IP/포트를 기반으로 카운터를 차별화하고 싶습니다. dnat 포트. 이것을 달성할 수 있는 방법이 있나요?
미리 감사드립니다.
답변1
사전 라우팅 후크의 필터 체인 유형에 카운터가 있지만 conntrack에 대한 모든 패킷을 계산하는 우선 순위가 -200(NF_IP_PRI_CONNTRACK)보다 이전인 별도의 규칙을 만듭니다.
따라서 DNAT를 트리거하는 패킷 수를 계산하려면 dnat 규칙에 카운터만 설정하면 됩니다.