iptables проверка цепочки

[WonderTalik]

Начал углубятся в возможности iptables и пока нигде подобного не нашел.
Значит сделал вот так:

Код: [Выделить]

iptables -A INPUT -s 10.7.9.6 -p tcp -j DROPТеперь при iptables -L я вижу это правило. Вопрос в том , что если я еще раз введу эту же команду у меня правило продублируется. Интересует, можно ли как-то проверять на наличие этого правила в цепочки. И если это правило уже есть, не добавлять его и тд.... Надеюсь изъяснил понятно. Жду ответа.

[AnrDaemon]

Поставь задачу нормально. Какой конечный итог этого действия должен быть?

[WonderTalik]

Поставь задачу нормально. Какой конечный итог этого действия должен быть?

Допустим есть вот такой скрипт который запускается по крону раз в 10 мин:

Код: [Выделить]

#!/bin/sh
netstat -n -p | grep SYN_REC | awk '{$5}' | awk -F: '{print $1}' | sort | uniq; netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}' | sort | uniq > badipaddr
list=`cat badipaddr`
for ip in $list; do   
/sbin/iptables -I INPUT -s $ip -p tcp -j DROP
doneВ файле badipaddr список ip-шников(1 айпи на строку). И как видно с помощью

Код: [Выделить]

/sbin/iptables -I INPUT -s $ip -p tcp -j DROPони загоняются в iptables.
Проблема в том, что в файле badipaddr каждые десят минут может быть один и тот же айпишник. А потому в айпитаблес создаются дублирующие правила. Вопрос: как можно сделать проверку в уже существующих правилах на наличие айпи из badipaddr, если есть -  правило не добавлять. если нет - добавить правило. Надеюсь понятно изложил суть проблемы?

[Mam(O)n]

Можно сделать так:

Код: [Выделить]

/sbin/iptables -S INPUT | /bin/grep -Fe"-A INPUT -s $ip/32 -p tcp -j DROP" >/dev/null 2>&1 || /sbin/iptables -I INPUT -s $ip -p tcp -j DROP

[AnrDaemon]

Не надо ничего проверять. Очищаешь всю цепочку и забиваешь её адресами из списка наново.