Nftables: oneliner для подсчета, регистрации (с ограничением) и удаления ⇐ Linux

[Anonymous]

Я использую nftables v0.9.6 и базу данных geoip для удаления входящего трафика из определенных стран.
Например, у меня есть цепочка:

Код: Выделить всё

meta mark 0x0000033a drop comment "block traffic from GB"

Лучше, я хотел бы посчитать, зарегистрировать и отбросить трафик.
Я думаю, мне следует добавить эти инструкции:

Код: Выделить всё

meta mark 0x0000033a counter name "drop_gb" log prefix "drop_gb:" drop comment "block traffic from GB"

Честно говоря, я не пробовал, но уверен, что это сработает
К сожалению, я застрял на следующем шаге: я хотел добавить ограничение на действие ведения журнала. чтобы диск, особенно на небольших встроенных платформах, не заполнялся файлами журналов в случае длительной атаки.
Я обычно добавляю инструкцию с ограничением скорости 120 пакетов в минуту, пакет 300 пакетов перед Команда log, например:

Код: Выделить всё

meta mark 0x0000033a counter name "drop_gb" limit rate 120/minute burst 300 packets log prefix "drop_gb:" drop comment "block traffic from GB"

но я думаю, что здесь я получу (нежелательный) побочный эффект, заключающийся в том, что действие drop будет «ограниченным»!
Я имею в виду, что с помощью приведенного выше правила будет отбрасываться только зарегистрированный трафик, что приводит к странному результату: трафик, превышающий пороговое значение (сильная атака), не будет отбрасываться. Я прав?
Я бы хотел сохранить подход «oneliner», чтобы иметь более читаемые правила (их несколько, и они генерируются сценарием): есть ли способ добиться «ограниченного» log с "полным" отбрасыванием пакетов?
Спасибо!
S.

Подробнее здесь: https://stackoverflow.com/questions/792 ... t-and-drop