nftables counter Werte per Skript auslesen

**barton4** · 02.03.15, 19:08

Hallo Leute,

ich versuche gerade ein Bytecounter für bestimmte Verbindungen zu realsieren. Mit nftables gibt es die Möglichkeit einen "counter" an eine Regel zu heften.
Die Ausgabe des ganzen sieht dann so aus:

Code:

# nft list table nat
table ip nat {
        chain prerouting {
                 type nat hook prerouting priority -150;
        }

        chain postrouting {
                 type nat hook postrouting priority -150;
                 ip daddr != 192.168.0.0/24 counter packets 4176 bytes 307393
        }
}

Zwar lässt sich der Bytecount mit sed/grep/cut usw. herausfiltern. Dennoch ist dies für mehrer unabhängige Counter eher umständlich, weil für das Herausfiltern die komplette Regel angegeben werden muss.
Gibt es da eventuell eine andere Form für die Ausgabe. Eventuell in richtung handles?

Beste Grüße

Martin

**nopes** · 02.03.15, 20:09

hmm dachte schon, inzwischen bin ich unsicher :-/
Wie auch immer, es hießt so schön: "There is also a new library for utilities that need to interact with the firewall". Die gemeinte Bibliothek wird hier verwaltet: https://git.netfilter.org/libnftnl

Allerdings sucht man (bzw. ich) vergeblich nach einem Beispiel, wie man an diese Counter kommt - nach etwas suchen habe ich das hier gefunden: http://patchwork.ozlabs.org/patch/433017/ - den Patch sieht man aber auf der offiziellen Seite nicht, Namen und sowas passen aber

Egal, jedenfalls genau diese libnftnl (früher libnftables) ist dafür da - events gibt es dort auch; aber wie erwähnt, finde ich die Beispiel nicht so wirklich hilfreich, habe mir die aber auch nur im Browser angesehen...

**barton4** · 03.03.15, 16:53

Danke für deine für deine Antwort. Das mit der c-libary ist wahrscheinlich das sauberste Lösung.
Hab erstmal eine Quick and Dirty Lösung. Die sieht ca so aus

Code:

#!/bin/bash

nft list tables | while read line;
do
        nft list $line -a | grep "handle $1" | sed -r  's@.*packets [0-9]+ bytes ([0-9]+).*@\1@'
done;

Das erste Argument ist dann das Handle. Schließlich wird der Bytecount zurückgegeben.
Was aber noch ein Problem ist. Woher weis ich das Handle? Zwar lässt sich das ganze ermitteln und
statisch eintragen. Aber wenn sich Regeln ändern, müsste das nachgeflegt werden.

Am besten wäre es beim Einfügen einer Regel gleich das Handle zurückzubekommen.
Weist du ob das eventuell mit dem nft command line tool möglich ist?

Auch gut wäre es gleich ein Handle für eine Regel vorzugeben.
Aber das scheint schon von der Syntax her nicht vorgesehen zu sein.

Eine andere Alternative währe für jeden Counter eine eigene Chain zu erstellen.