我目前正在编写一个小型解决方案,它将不断接收来自conntrack -E命令的输出以及一些其他统计数据,它将计算/监控流量。
我面临的唯一问题/挑战是,“conntrack -E”仅报告数据包和字节计数器破坏事件。更新事件似乎不会更新“增量”计数器。例如,如果我想在一定限制下从网络上切断某些设备,那么有人可以(理论上)无限期地保持 TCP 连接打开,从而绕过限制。
我寻求您关于如何缓解这种情况的建议。我在想也许将内核中的 TCP keepalive 间隔降低到 10 分钟可能是一个解决方案,但我不确定我是否看到了它的所有可能的含义。
PS我知道我可以采用其他可能的解决方案,例如乌洛格德2或类似的东西,但我更喜欢我一开始想象的方式:)