linux網(wǎng)橋做流量控制時使用iptables的MARK問題

ssmarine

我就是把樓主的匹配的源地址刪掉了再執(zhí)行的結(jié)果呀。

樓主寫的是

1. 
   
2. iptables -t mangle -F
   
3. iptables -t mangle -A PREROUTING -i eth2 -s 90.0.11.66/32 -j MARK --set-mark 11
   
4. iptables -t mangle -A PREROUTING -i eth2 -s 90.0.11.66/32 -j RETURN
   

復制代碼

這個MARK語句我執(zhí)行了就是第一個結(jié)果

按后我把MARK語句改為

1. 
   
2. iptables -t mangle -F
   
3. iptables -t mangle -A PREROUTING -i eth2 -j MARK --set-mark 11
   
4. iptables -t mangle -A PREROUTING -i eth2 -j RETURN
   

復制代碼

執(zhí)行的就是第二個結(jié)果。


我貼出的是第二次結(jié)果時的mangle表內(nèi)容

[ 本帖最后由 ssmarine 于 2007-6-27 22:58 編輯 ]

platinum

汗~！

1、你按樓主的方法測試了，感覺不成功
2、你修改了，感覺成功了
3、我讓你貼不成功時的 iptables 內(nèi)容
4、你貼的是修改后的成功了時候的 iptables 內(nèi)容
5、我給你解釋了為什么要你貼不成功時的內(nèi)容
6、你沒明白我前面的 3、4、5 點……

platinum

哦，找到樓主的錯誤了，-i eth2 -d xxx 寫成了 -i eth2 -s xxx

ssmarine

哦，這樣呀。
第一次的內(nèi)容在我執(zhí)行第二次時已經(jīng)變了，所以我就貼了第二次的。

第一次的結(jié)果是

1. 
   
2. # Generated by iptables-save v1.2.11 on Sat Jun 23 01:22:41 2007
   
3. *mangle
   
4. :PREROUTING ACCEPT [6567:1283707]
   
5. :INPUT ACCEPT [1896:139126]
   
6. :FORWARD ACCEPT [4666:1144381]
   
7. :OUTPUT ACCEPT [1984:213265]
   
8. :POSTROUTING ACCEPT [6650:1357646]
   
9. [0:0] -A PREROUTING -s 192.168.0.3 -i eth2 -j MARK --set-mark 0xb
   
10. [0:0] -A PREROUTING -s 192.168.0.3 -i eth2 -j RETURN
    
11. [1:48] -A PREROUTING -d 192.168.0.3 -i eth1 -j MARK --set-mark 0x16
    
12. [1:48] -A PREROUTING -d 192.168.0.3 -i eth1 -j RETURN
    
13. COMMIT
    
14. # Completed on Sat Jun 23 01:22:41 2007
    
15. 
    

復制代碼

這是我把MARK語句內(nèi)容改回來再執(zhí)行的結(jié)果

platinum

前面的沒有匹配到，所以當然也沒 MARK，后面 tc 沒看到 MARK 當然也不動作了
-s 改成 -d，PREROUTING 保持不變再試試看？

ssmarine

1. 
   
2. [root@localhost ~]# iptables-save -ct mangle
   
3. # Generated by iptables-save v1.2.11 on Sat Jun 23 01:27:43 2007
   
4. *mangle
   
5. :PREROUTING ACCEPT [8832:1609351]
   
6. :INPUT ACCEPT [2971:211400]
   
7. :FORWARD ACCEPT [5856:1397751]
   
8. :OUTPUT ACCEPT [3148:344661]
   
9. :POSTROUTING ACCEPT [9004:1742412]
   
10. [0:0] -A PREROUTING -d 192.168.0.3 -i eth2 -j MARK --set-mark 0xb
    
11. [0:0] -A PREROUTING -d 192.168.0.3 -i eth2 -j RETURN
    
12. [0:0] -A PREROUTING -d 192.168.0.3 -i eth1 -j MARK --set-mark 0x16
    
13. [0:0] -A PREROUTING -d 192.168.0.3 -i eth1 -j RETURN
    
14. COMMIT
    
15. # Completed on Sat Jun 23 01:27:43 2007
    
16. [root@localhost ~]# tc -s qdisc ls dev eth1
    
17. qdisc htb 1: r2q 10 default 20 direct_packets_stat 0
    
18. Sent 1396 bytes 16 pkts (dropped 0, overlimits 0)
    
19. 
    
20. qdisc sfq 10: parent 1:10 quantum 1514b perturb 10sec
    
21. Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
    
22. 
    
23. qdisc sfq 20: parent 1:20 quantum 1514b perturb 10sec
    
24. Sent 1396 bytes 16 pkts (dropped 0, overlimits 0)
    
25. 
    
26. [root@localhost ~]# tc -s qdisc ls dev eth1
    
27. qdisc htb 1: r2q 10 default 20 direct_packets_stat 0
    
28. Sent 17690 bytes 200 pkts (dropped 0, overlimits 0)
    
29. 
    
30. qdisc sfq 10: parent 1:10 quantum 1514b perturb 10sec
    
31. Sent 0 bytes 0 pkts (dropped 0, overlimits 0)
    
32. 
    
33. qdisc sfq 20: parent 1:20 quantum 1514b perturb 10sec
    
34. Sent 17690 bytes 200 pkts (dropped 0, overlimits 0)
    

復制代碼

結(jié)果流量還是跑到默認的子類20上去了。

ssmarine

就是我修改認為是正確后的流量，一段時間過后默認子類20還是會有幾百個bytes的包。不知是為什么，應該是一個都沒有啊。

1. 
   
2. [root@localhost ~]# tc -s qdisc ls dev eth1
   
3. qdisc htb 1: r2q 10 default 20 direct_packets_stat 0
   
4. Sent 242169 bytes 1105 pkts (dropped 0, overlimits 556)
   
5. 
   
6. qdisc sfq 10: parent 1:10 quantum 1514b perturb 10sec
   
7. Sent 241861 bytes 1099 pkts (dropped 0, overlimits 0)
   
8. 
   
9. qdisc sfq 20: parent 1:20 quantum 1514b perturb 10sec
   
10. Sent 308 bytes 6 pkts (dropped 0, overlimits 0)
    
11. 
    

復制代碼

platinum

你又做錯了
iptables -t mangle -A PREROUTING -i eth2 -s 90.0.11.66/32 -j MARK --set-mark 11
iptables -t mangle -A PREROUTING -i eth2 -s 90.0.11.66/32 -j RETURN
這個之前沒有匹配到，是因為 -s 的問題，eth2 是內(nèi)網(wǎng)網(wǎng)卡，來自內(nèi)網(wǎng)的地址若沒有 90.0.11.66 則不會匹配到
我是讓你改成 -d 90.0.11.66，然后去訪問 90.0.11.66 看看
當然，90.0.11.66 是一個隨便外網(wǎng)地址，你可以改成其他有效外網(wǎng)地址測試

你上面的內(nèi)容是
[0:0] -A PREROUTING -d 192.168.0.3 -i eth2 -j MARK --set-mark 0xb
[0:0] -A PREROUTING -d 192.168.0.3 -i eth2 -j RETURN
若用 192.168.0.3 做測試，那么應該沿用 -s 而不是 -d

二者改其一，要么改 IP，要么改 -s，你一起改了等于沒改

ssmarine

你是叫我匹配一個特定的外網(wǎng)地址，然后再去訪問這個地址。看看子類10是否有流量，是不？
但是在我認為正確的做法里就是把匹配的地址刪了，只要是訪問外網(wǎng)的都會匹配的。和你的意思是一樣的。

platinum

原帖由 ssmarine 于 2007-6-27 23:27 發(fā)表于 19樓  
你是叫我匹配一個特定的外網(wǎng)地址，然后再去訪問這個地址。看看子類10是否有流量，是不？
但是在我認為正確的做法里就是把匹配的地址刪了，只要是訪問外網(wǎng)的都會匹配的。和你的意思是一樣的。

現(xiàn)在的目的不是要給樓主排錯嗎？我從始至終并沒有否認你修改后的正確性啊……
樓主的 -s 應該寫成 -d，這也就是為什么你第一次按照樓主的方法測試也一樣失敗的原因，我是想讓你看到成功的例子啊