主页 / server / 问题 / 971633
Accepted
user762750
Asked: 2019-06-17 06:10:30 +0800 CST

如何重置 nftable 计数器?

  • 772

使用 nftable 真的很痛苦。我有一个 ipv4 表和一个输入链。 

table ip filter { # handle 7
    chain input { # handle 1
        type filter hook input priority 0; policy accept;
        ip daddr 192.168.0.102 counter packets 697173 bytes 850761603 # handle 5
        ip saddr 192.168.0.100 counter packets 38 bytes 4096 # handle 6
    }
}

但是如何重置句柄 5 的计数器?

linux

1 个回答

  1. Best Answer

    据我所知,无法重置匿名计数器(与无法重置匿名配额相同的问题,见最后)。

    命名计数器

    使用 nftables 0.9.0 测试。必需:nftables >= 0.8 和内核 >= 4.10。

    可以做的是使用命名计数器,它是(当前)三种可能的有状态对象之一:计数器、(conntrack)助手配额。然后可以从规则中引用这些命名的计数器。给定的命名计数器附加到表。OP 的规则集可以这样写:

    table ip filter {
    counter mycounterd102 {
        packets 697173 bytes 850761603
    }
    counter mycounters100 {
        packets 38 bytes 4096
    }
    chain input {
        type filter hook input priority 0; policy accept;
        ip daddr 192.168.0.102 counter name "mycounterd102"
        ip saddr 192.168.0.100 counter name "mycounters100"
    }
}

    使用手动nft命令创建命名计数器,如下所示,可选择设置非零值:

    nft add counter ip filter mycounterd102 packets 697173 bytes 850761603

    现在,可以列出或重置这些命名计数器:

    # nft list counter ip filter mycounterd102
table ip filter {
    counter mycounterd102 {
        packets 697173 bytes 850761603
    }
}
# nft reset counter ip filter mycounterd102
table ip filter {
    counter mycounterd102 {
        packets 697173 bytes 850761603
    }
}
# nft list counter ip filter mycounterd102
table ip filter {
    counter mycounterd102 {
        packets 0 bytes 0
    }
}

    正如预期的那样,reset 命令将自动列出并重置给定的计数器。

    也可以重置表中的所有计数器(如果没有给出表,则在所有表中):

    # nft reset counters table ip filter
table ip filter {
    counter mycounters100 {
        packets 38 bytes 4096
    }
    counter mycounterd102 {
        packets 0 bytes 0
    }
}

    参考:有状态的对象 - nftables wiki

    其中谈到了柜台和配额。有一个与即使重置所有配额也无法重置匿名配额相关的链接错误。可以假设计数器的问题完全相同:截至 2019 年 1 月(以及在此答案发布之日)不可用:

    错误 1314 - nft 重置配额不会重置匿名配额

    • 1

相关问题