[Sysadmins] iptables -j MARK

Ср Май 28 20:51:21 MSD 2008

В сообщении от 28 мая 2008 Andrew Kornilov написал(a):
> Во, отлично. Можешь попробовать добавить два правила. Что-то вроде:
> iptables -A OUTPUT -t mangle -p tcp --dport 123:567 -j MARK --set-mark
> 123 iptables -A OUTPUT -t mangle -p tcp --dport 256:890 -j MARK
> --set-mark 123 И потом сделать telnet любойхост 345
>
> Смысл в том, чтобы сделать telnet на порт, который попадает в условия
> обоих правил. После этого посмотри iptables -L -n -v -t mangle,
> увеличились оба счетчика или только первый?

[root на vipnet sysconfig]# cat /etc/sysconfig/iptables|grep mangle
*mangle
[root на vipnet sysconfig]# cat /etc/sysconfig/iptables|grep MARK
-A OUTPUT  -p tcp --dport 123:567 -j MARK --set-mark 123
-A OUTPUT  -p tcp --dport 256:890 -j MARK --set-mark 123

[vip на vipnet vip]$ telnet seversk.ru 345
Trying 88.204.48.130...
telnet: connect to address 88.204.48.130: Connection refused

[root на vipnet sysconfig]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 1457 packets, 245K bytes)
 pkts bytes target     prot opt in     out     source               
destination

Chain INPUT (policy ACCEPT 3063K packets, 1056M bytes)
 pkts bytes target     prot opt in     out     source               
destination

Chain FORWARD (policy ACCEPT 42M packets, 36G bytes)
 pkts bytes target     prot opt in     out     source               
destination

Chain OUTPUT (policy ACCEPT 373 packets, 40440 bytes)
 pkts bytes target     prot opt in     out     source               
destination
    1    52 MARK       tcp  --  *      *       0.0.0.0/0            
0.0.0.0/0           tcp dpts:123:567 MARK set 0x7b
    1    52 MARK       tcp  --  *      *       0.0.0.0/0            
0.0.0.0/0           tcp dpts:256:890 MARK set 0x7b

Chain POSTROUTING (policy ACCEPT 42M packets, 36G bytes)
 pkts bytes target     prot opt in     out     source               
destination

-- 
Всего хорошего
		/vip