История изменений
Исправление vel, (текущая версия) :
Передавать большие данные в виде структуры в iptables - моветон. Именно из-за этого все, что имеет неопределенный размер разделяет правила и данные (пример ipset)
В твоем случае проще дописать к ipset новый тип (взяв за основу has:ip) или использовать hash:net,net Или подправить has:ip,port,ip чтоб при 0-м порте он его не сравнивал.
Правильный способ - данные для правил предварительно загружать через procfs. Простой шаблон - xt_condition из xtables-addons
Исправление vel, :
Передавать большие данные в виде структуры в iptables - моветон. Именно из-за этого все, что имеет неопределенный размер разделяет правила и данные (пример ipset)
В твоем случае проще дописать к ipset новый тип (взяв за основу has:ip) или использовать hash:net,net
Правильный способ - данные для правил предварительно загружать через procfs. Простой шаблон - xt_condition из xtables-addons
Исходная версия vel, :
Передавать большие данные в виде структуры в iptables - моветон. Именно из-за этого все, что имеет неопределенный размер разделяет правила и данные (пример ipset)
В твоем случае проще дописать к ipset новый тип (взяв за основу has:ip). ipset можно собирать отдельно от ядра.
Правильный способ - данные для правил предварительно загружать через procfs. Простой шаблон - xt_condition из xtables-addons