{{tag>netadmin sysadmin linux nft firewall netfilter}}

:TODO_DOCUPDATE:

====== nft : gestion des compteurs ======

Lors de la création d'une règle, on peut associer un compteur (anonymous counter) qui permettra d'évaluer l'usage de la règle:

<code bash>
# création une règle dans la chaîne "output" de la table "filter" avec
# un compteur anonymes
 
</code>

Les compteurs anonymes ne peuvent pas être réinitialisés. Pour réinitialiser les compteurs il faudra alors:
  - Sauvegarder les règles (l'état courant);
  - Éditer le fichier pour mettre remettre à zéro les valeurs "packets" et "bytes" sur la ou les règles utilisant un compteur anonyme;
  - Recharger le fichier édité.

<code bash>
#sauvegarde l’état courant
nft list ruleset > save_current_state.nft

# éditer le fichier save_current_state.nft pour RAZ des compteurs

# Réinitialise et recharge les règles
nft flush ruleset
nft -f save_current_state.nft
</code>

Pour gérer individuellement les compteurs et **pouvoir les réinitialiser**, il faudra utiliser les **compteurs nommés** (named counters) qui sont référencés dans la documentation officielle dans la partie "Stateful objects".

Le compteur est lié à une table, lors de sa création on peut optionnellement lui définir des valeurs ''packets'' et ''bytes'' non nulles:

<code>
# Création d'un compteur nommé "trafic_rejected" pour la table "filter"
nft add counter ip filter traffic_rejected packets 10 bytes 1100 
</code>

Pour lister l' ensemble des compteurs nommés:

<code>
nft list counters
</code>

Pour lister un compteur nommé:
<code>
nft list counter aTable aCounterName
</code>

Le compteur nommé peut maintenant être utilisé dans une règle:

<code bash>

</code>

Réinitialiser le compteur via la commande nft reset:
<code bash>
# nft reset counter aTable aCounterName

nft reset filter output_rejected
</code>

===== Références =====

  * https://serverfault.com/questions/971633/how-to-reset-nftable-counter
  * https://wiki.nftables.org/wiki-nftables/index.php/Element_timeouts