特定のポートでdnatを使用して「タイプnatフック事前ルーティング」チェーンのルールのカウンタを設定すると、カウンタはそのルールの最初のパケットのみを計算し、同じconntrackの以降のパケットを計算しなくなります。
フォワードフックにカウンタを設定できますが、これはポストDNAターゲットIP /ポートに基づいている必要があります。しかし、他のIP /ポートを同じ宛先IP /ポートに接続できるので、dnat以前にIP /ポートにカウンタを適用したいと思い、以前に宛先IP /ポートに基づいてカウンタを差別化したいと思います。 dnatポート。これを達成する方法はありますか?
よろしくお願いします。
ベストアンサー1
事前ルーティングフックのフィルタチェーンタイプにカウンタがありますが、conntrackのすべてのパケットを計算する優先順位が-200(NF_IP_PRI_CONNTRACK)より前の別のルールを作成します。
したがって、DNATをトリガーするパケット数を計算するには、dnatルールにカウンターを設定するだけです。