[Sysadmins] iptables -j MARK
Vyatcheslav Perevalov
=?iso-8859-1?q?vip0_=CE=C1_seversk=2Eru?=
Ср Май 28 20:51:21 MSD 2008
В сообщении от 28 мая 2008 Andrew Kornilov написал(a):
> Во, отлично. Можешь попробовать добавить два правила. Что-то вроде:
> iptables -A OUTPUT -t mangle -p tcp --dport 123:567 -j MARK --set-mark
> 123 iptables -A OUTPUT -t mangle -p tcp --dport 256:890 -j MARK
> --set-mark 123 И потом сделать telnet любойхост 345
>
> Смысл в том, чтобы сделать telnet на порт, который попадает в условия
> обоих правил. После этого посмотри iptables -L -n -v -t mangle,
> увеличились оба счетчика или только первый?
[root на vipnet sysconfig]# cat /etc/sysconfig/iptables|grep mangle
*mangle
[root на vipnet sysconfig]# cat /etc/sysconfig/iptables|grep MARK
-A OUTPUT -p tcp --dport 123:567 -j MARK --set-mark 123
-A OUTPUT -p tcp --dport 256:890 -j MARK --set-mark 123
[vip на vipnet vip]$ telnet seversk.ru 345
Trying 88.204.48.130...
telnet: connect to address 88.204.48.130: Connection refused
[root на vipnet sysconfig]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 1457 packets, 245K bytes)
pkts bytes target prot opt in out source
destination
Chain INPUT (policy ACCEPT 3063K packets, 1056M bytes)
pkts bytes target prot opt in out source
destination
Chain FORWARD (policy ACCEPT 42M packets, 36G bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 373 packets, 40440 bytes)
pkts bytes target prot opt in out source
destination
1 52 MARK tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:123:567 MARK set 0x7b
1 52 MARK tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp dpts:256:890 MARK set 0x7b
Chain POSTROUTING (policy ACCEPT 42M packets, 36G bytes)
pkts bytes target prot opt in out source
destination
--
Всего хорошего
/vip
Подробная информация о списке рассылки Sysadmins