iptables OUTPUTチェーンによって生成されたルールがしばらくして削除されるのはなぜですか？

firewall-cmd --reload実行すると、手動で追加されたルールが削除されるという事実は、システムが動作していることを示す信号ですfirewalld。これはIPTablesファイアウォール（および将来の代替品）の管理システムですnftables。

firewalldボットが目的の操作を知らせるのではなく、IPTablesを直接操作するため、firewalld直接追加された設定が上書きされ、firewalldすべてのIPtables設定が構成ガイドラインに従ってリセットされます。

あなたは交換する必要がありますiptablesファイアウォール設定を変更するすべてのコマンド同等firewall-cmdのコマンドを使用してください。iptables -nvLそのままにできる既存のファイアウォール設定を確認してください。

ライン

iptables -nvL OUTPUT --line-numbers|grep "\<tcp spt:port\>"

ルールは生成されず、行番号を含むOUTPUTテーブルの内容のみが表示され、文字列 ""が含まれていない行はフィルタリングされます。

sudo iptables -I OUTPUT -p tcp --sport port_number -j DROP
sudo iptables -I OUTPUT -p tcp --sport port_number -m quota --quota 500000000 -j ACCEPT

これら2つのコマンドのためプレフィックス既存のルールに新しいルールを追加します。これら2つのコマンドの結果は、次の順序で2つのルールになります。

1.）出力時に開始されるすべてのIPv4 TCPトラフィックにはport_number500000000のクォータが適用され、クォータが許可されている場合にのみ許可されます。

2.）クォータのために前述のトラフィックが許可されていない場合、そのトラフィックは破棄されます。

これの正確なコピーを使用するには、firewall-cmd直接ルールを使用する必要があるようです：

firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -p tcp --sport port_number -m quota --quota 500000000 -j ACCEPT
firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -p tcp --sport port_number -j DROP
firewall-cmd --reload

最初の 2 つのコマンドは新しいルールを永続firewalld構成に書き込み、3 番目のコマンドは新しい構成を適用します。

直接ルールの予想順序を指定するには、優先順位番号を使用する必要があります。それ以外の場合、正しい順序は保証されません。さらに、ボットはチェーンの始めに新しいルールペアを挿入し続けるため、チェーンをますます長くすることはできません。

私は尋ねたいです。firewall-cmd --reloadあなたのロボットが実行するサイクルの目的は何ですか？すべてのルールが再ロードされるため、クォータカウンタがリセットされる可能性があります。 （これがボットがこれを行う理由だと思いますが、統計などのクォータカウンタの値が必要な場合は、このコマンドを実行する前に前の値を読み、どこかに保存したことを確認してください。）