我能否以某种方式使用 iptables-save 定义重新加载防火墙规则,而不清除当前运行时版本计数器?我想要某种方式来仅添加和删除不同的规则,并保留旧规则,同时保持计数器完好无损。 iptables-恢复-n不够聪明。
以前有人解决过这个问题吗?
我的监控与防火墙规则和计数器绑定,清除它们会导致 rrdtool 图表出现大幅飙升,因为 rrdtool 认为这是整数溢出,而不是防火墙更新。
答案1
有很多选项,你只需要改变如何管理防火墙。
一些想法
- 不要“重新加载”防火墙。根据需要发出添加/插入/删除规则的命令。
- 重新设计防火墙,使计数器与过滤规则处于不同的链中。不要刷新/更新该特定链。
- 使用iptables-save导出当前规则,更新导出的规则集,并恢复它们。
- 正如@gparent 建议的那样,使用某些东西来保存计数器,然后使用
-c
选项在重新加载期间恢复它们。