salut,
 
j'ai un petit soucis de fonctionnement sur iptables, sur debian wheezy tout à jour.
pour faire court, je fais de l'accounting par adresse ip avec les règles suivantes:
 
iptables -A FORWARD -s 192.168.0.10 -m quota --quota 100000 -j ACCEPT
iptables -A FORWARD -s 192.168.0.10 -j DROP
 
la logique c'est que le traffic passe tant que le compteur n'atteint pas le quota, et après la règle n'est plus valide.  
sauf qu'en réalité, le compteur continue à augmenter et la règle reste valide. la règle du bas ne matche pas.
 
en cherchant un peu, je suis tombé sur des bugs de comptage de l'époque du noyau 2.6 sur la gestion du smp. dans le doute j'ai mis un noyau 486 (non smp) pour voir, mais ça ne change rien.
 
des idées? est-ce que j'ai loupé quelque chose?
 
merci!

bon, alors dans la série selfréponse, ça vient du noyau de wheezy (3.2.0-4). Je l'ai remplacé par le dernier noyau de squeeze en 2.6 (2.6.32-5) et ça fonctionne.
le noyau utilisé est ici : https://packages.debian.org/squeeze [...] 686-bigmem
 
le module xt_quota serait kaputt dans le noyau 3.2? ou est-ce la façon de déclarer les règles iptables? je vais voir mais sachant que ça fonctionne comme ça, je ne pense pas approfondir pour le moment.

j'en profite de l'émergence de nftables pour savoir si du monde a un feedback sur l'utilisation des quotas.