BLOGTIMES
2013/07/29

iptables でフィルタがどれくらい使われているのか確認する

  iptables 
このエントリーをはてなブックマークに追加

サーバの iptables にはスパマーが来るたびに日々ルールを追加しているのですが、ルールは日々溜まっていく一方なので、古いルールで現在有効に作用していないフィルタを見つけて削除したいと思い、何か良い方法がないかと思って調べてみたら、iptables にはパケットカウントの機能があることが分かったのでメモ。つまり、いちいち syslog に吐いたりしなくてもフィルタに該当したパケット数がとれくらいあったかが分かるというわけです。

やり方は簡単で -v オプションをつけるだけ。先頭のカラムにパケット数とバイト数が表示されるようになります。
ちなみに -Z オプションをつけることで、パケットカウントをリセットすることもできました。

# iptables -L -v Chain INPUT (policy ACCEPT 35G packets, 4196G bytes) pkts bytes target prot opt in out source destination 1189K 342M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED 0 0 ACCEPT all -- any any hoge.example.net/24 anywhere 0 0 ACCEPT all -- any any fuga.example.net/24 anywhere 227 11756 ACCEPT all -- any any piyo.example.net/24 anywhere 75853 4134K SPAMFILTER tcp -- any any anywhere anywhere state NEW 107 6328 ssh tcp -- any any anywhere anywhere tcp dpt:ssh

    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/6009
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン