hashlimit поговорим об нем

[coolman]

Вот у меня такая ситуация, очень давно пользуюсь hashlimit для ограничения проходящих пакетов,
логировал все через limit и ни как не могу понять почему реальные вещи не совпадают с тем что логируется, потом дошло что limit действует на все пакеты и отслеживание по ip адресам не идет, тогда я  создал правило логирования на основе hashlimit, привожу вырезки из правил:
iptables -A cschain -m connlimit --connlimit-above 15 -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 1 --hashlimit-mode srcip,dstip --hashlimit-name udpabove -j LOG --log-prefix " udp-above-15 "
iptables -A cschain -m connlimit --connlimit-above 15 -j DROP
iptables -A INPUT -p udp -m multiport --dports 27010:27030 -j cschain
так вот по идее такое правило должно делать 1 запись в течении часа с одного ip, а у меня один и тот же ip записывает каждые 40 секунд в логи, почему?

[coolman]

блин ни кто не знает что ли?
почему вот так:
iptables -A INPUT -i $INET_IF -p icmp --icmp-type 8 -m hashlimit --hashlimit-upto 1/hour --hashlimit-burst 1 --hashlimit-mode srcip --hashlimit-name PING_ACCEPT4 -j LOG --log-prefix "Ping"
а в  логи так:

Apr 22 10:33:32 Server kernel: [261060.895325] Ping IN=eth0 OUT= MAC= mac SRC=87.224.165.79 DST=myip LEN=64 TOS=0x00 PREC=0x00 TTL=122 ID=33736 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=62214
Apr 22 12:02:48 Server kernel: [266416.559469] Ping IN=eth0 OUT= MAC= mac SRC=87.224.254.55 DST=myip LEN=59 TOS=0x00 PREC=0x00 TTL=58 ID=46916 PROTO=ICMP TYPE=8 CODE=0 ID=13329 SEQ=1861
Apr 22 12:37:21 Server kernel: [268489.788890] Ping IN=eth0 OUT= MAC= mac SRC=87.224.254.55 DST=myip LEN=59 TOS=0x00 PREC=0x00 TTL=58 ID=11404 PROTO=ICMP TYPE=8 CODE=0 ID=13329 SEQ=838
Apr 22 12:51:00 Server kernel: [269309.326102] Ping IN=eth0 OUT= MAC= mac SRC=87.224.254.55 DST=myip LEN=59 TOS=0x00 PREC=0x00 TTL=58 ID=13118 PROTO=ICMP TYPE=8 CODE=0 ID=13329 SEQ=31302

тоесть больше чем 1 пакет за час в логи добавляет почему так? iptables 1.4.10

[podkovyrsty]

А вы statistic юзайте и не парьтесь.
Это вопрос работы очереди пакетов и очереди правил, чем отличается -A от -I ?

[coolman]

вот тут та же проблема:
http://www.spinics.net/lists/netfilter/msg47438.html
но она меня навела на мысль, щас докумекаю и сформулирую мысль
Пользователь решил продолжить мысль 22 Апреля 2011, 12:19:59:

А вы statistic юзайте и не парьтесь.
Это вопрос работы очереди пакетов и очереди правил, чем отличается -A от -I ?

   
-A **** добавляет правило в конец цепочки
-I **** добавляет правило в начало цепочки (ещё можно указать порядковый номер куда вставить)

[podkovyrsty]

Дык.
У вас правило с хэшлимитом где стоит?

[coolman]

Дык.
У вас правило с хэшлимитом где стоит?

в скрипте, кстати вот решение:
--hashlimit-htable-expire 3600000
надо будет проверить

[coolman]

ну вроде работает, странно что по умолчанию не отрабатывает нужным образом