iptables connbytes 模塊使用？

bfz814

iptables 1.4.2  版本

1. [root@bfz ~]# iptables -t mangle -A PREROUTING -m connbytes --connbytes 1000:10000 --connbytes-dir both --connbytes-mode bytes -j DROP
   
2. iptables: No chain/target/match by that name
   

復制代碼

這是為什么？  添加到別的chain 也說 沒有No chain/target/match by that name

platinum

# find /lib/modules -name "*_connbytes*"
如果沒有，就是內(nèi)核沒有相應模塊可以使用

bfz814

回復 2# platinum


  嗯 ，知道了   的確是內(nèi)核沒有支持！{:3_180:}

bfz814

回復 2# platinum


    iptables -t mangle -A PREROUTING -m connbytes --connbytes 1000:10000 --connbytes-dir both --connbytes-mode bytes -j DROP

版主， 請問這句話我應該怎么理解？

platinum

匹配所有接觸到 Linux 的數(shù)據(jù)包，當某個連接傳輸了 1000 到 10000 字節(jié)的時候（雙向），這個數(shù)據(jù)包被丟棄

這個策略的邏輯是有問題的，因為一旦被 DROP ，就無法再突破 10000 而繼續(xù) ACCEPT 了

bfz814

回復 5# platinum


    哦 也就是說限制一個連接傳輸數(shù)據(jù)的最多傳輸1000-10000字節(jié)（雙向），如果超過10000就會DROP這個數(shù)據(jù)包  

這么說對么？

bfz814

匹配所有接觸到 Linux 的數(shù)據(jù)包，當某個連接傳輸了 1000 到 10000 字節(jié)的時候（雙向），這個數(shù)據(jù)包被丟棄
...
platinum 發(fā)表于 2010-06-29 17:01

    1000到10000 時候丟棄 數(shù)據(jù)包？  這個不懂！


還是沒有懂 connbytes 模塊的作用 ，希望版主解惑��！ 感謝

platinum

回復  platinum


    哦 也就是說限制一個連接傳輸數(shù)據(jù)的最多傳輸1000-10000字節(jié)（雙向），如果超過10 ...
bfz814 發(fā)表于 2010-06-29 17:04

match 的目的是匹配
你匹配的范圍是 both 雙向，1000:10000 的范圍，匹配到的動作是 DROP
你的邏輯是想匹配雙向已經(jīng)傳輸了 1000 到 10000 字節(jié)的連接，然后阻斷它

就好比 limit 模塊，很多人去用 -m limit --limit 1/s -j ACCEPT，這個邏輯是錯誤的

Oumulong

這個模塊我試過。還是好用的。說明上說一般是和TC流量限速一起用。。



-m connbytes --connbytes 1000:

就是一個連接的速度大于1000后。。可以作個標記。。讓它走低速或者指定速度的類。。。

很有效果。。