как проверить, был ли подключен ipset к iptables
Обработчик дампа памяти ядра может генерировать обратную трассировку процесса-зомби без предварительной записи дампа памяти на диск.
Я предположил, что ABRT может это сделать. Однако патч вроде есть, но его еще не слили:
Вы можете использовать флаг -Cв iptables, чтобы проверить, существует ли набор:
sudo iptables -C INPUT -m set --match-set sshd src -j DROP
Код возврата > 0, если набор не существует.
ipset имеет встроенный -счетчик ссылок. Таким образом, всякий раз, когда на него ссылается iptables , его счетчик ссылок увеличивается. Насколько я знаю, только ipset метанабор list:setи iptables ссылаются на ipset . Если вы не используете list:setили не изменяете его, вы можете напрямую запросить ipset(с помощью ipset list), чтобы узнать, ссылались ли на него iptables .
Пример:
# ipset create sshd hash:ip
# ipset list
Name: sshd
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 88
References: 0
Number of entries: 0
Members:
# iptables -A INPUT -m set --match-set sshd src -j DROP
# ipset list sshd
Name: sshd
Type: hash:ip
Revision: 4
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 88
References: 1
Number of entries: 0
Members:
Увеличился счетчик ссылок. Добавление новой команды iptablesс использованием этого набора увеличит его до 2. и т. д.
Выходные данные в формате XML могут помочь сценариям с правильными инструментами. Например:
# references=$(ipset -terse -output xml list | xmlstarlet sel -t -v '/ipsets/ipset[@name="sshd"]/header/references')
# echo $references
2