热卖商品
新闻详情
关于IPTABLES 各种MARK 功能的用法..._pengz_新浪博客
来自 : 新浪博客
发布时间:2021-03-24
关于IPTABLES 各种MARK 功能的用法...........iptalbes 的有多个MARK模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别....
-m mark
-m connmark
-j MARK
-j CONNMARK
-j CONNSECMARK
-j SECMARK小写的是数据包匹配模块,大写的是数据包修改模块
带 CONN 的是连接的标记,不带的是标记数据包的
带 SEC 的是用于处理 IPSEC 数据的,不带的是处理一般数据的白金大哥几句就概括了大的方向...利害啊...
[quote]CONNMARK target options:
--set-xmark value[/ctmask] Zero mask bits and XOR ctmark withvalue
--save-mark [--ctmask mask]
Copy ctmark to nfmark using masks
--restore-mark [--ctmask mask] [--nfmask mask]
Copy nfmark to ctmark using masks
--set-mark value[/mask] Set conntrack mark value
--save-mark [--mask mask] Save the packet nfmark in theconnection
--restore-mark [--mask mask]Restore saved nfmark value
--and-mark value Binary AND the ctmark with bits
--or-mark value Binary ORthe ctmark with bits
--xor-mark value Binary XOR the ctmark with bits[/quote]
在这个模块中..--save-mark,--set-mark,--restore-mark
这些常用的..如何用..有什么区别呢??搞不明白自己配置防火墙策略必须得懂这些。[quote]白金大哥几句就概括了大的方向...利害啊...
在这个模块中..--save-mark,--set-mark,--restore-mark...
Oumulong 发表于 2010-08-04 13:41 [/quote]
--set-mark value[/mask] Set conntrack mark value
--save-mark [--mask mask] Save the packet nfmark in theconnection
--restore-mark [--mask mask]Restore saved nfmark value
就像描述中说的一样
--set-mark 是直接设置连接中的 mark(注意,不是设置数据包的)
--save-mark 是把数据包中的 mark 设置到连接中
--restore-mark 是把连接中的 mark 设置到数据包中
具体这些功能有什么意义呢?看如下规则[code]
iptables -t mangle -A INPUT -m state --state NEW-j MARK --set-mark1
iptables -t mangle -A INPUT -j CONNMARK --save-mark
iptables -t mangle -A INPUT -j CONNMARK --restore-mark
[/code]虽然只匹配了每个连接的第一个包,但通过后面两个操作,使得这个连接的每个包都被设置成了 MARK 1
这个功能在 ipp2p 结合 tc 进行限速时特别有用
[url]http://www.ipp2p.org/docu_en.html#example[/url]学习了路过,学习总算明白这个功能在对包和连接作标记的应用了.....
再次非常感谢白金大哥..................
趁热打铁....下现几个项的应用呢...............
--and-mark value Binary AND the ctmark with bits
--or-mark value Binary ORthe ctmark with bits
--xor-mark value Binary XOR the ctmark with bits
--set-xmarkvalue[/ctmask]自己去研究吧http://cjict.xdq.gov.cn,呵呵对于限速来说...包肯定是在某一个连接中...
就象之前我用IPTABLESL7标记文件大小限制速度..那就应该用CONNMARK了..这是对整个连接的包进行限速成了...也正是我们需要的..
但白金大哥说过..L7本身就有连接跟踪的作用..而IP2PP没有...所以得通过上面的方式..转换成第个包...
作了个小节....呵等白金大哥来成都开课学习了......................iptables -t mangle -APOSTROUTING -o eth1 -m mark --mark 1 -j CLASSIFY --set-class1:2
刚才白金大哥发http://13i0.wxzj.gov.cn的..里面有个CLASSIFY..我路由也有这个模块..正好测试一下..限速的灵活更大强大了.........[quote]就象之前我用IPTABLESL7标记文件大小限制速度..那就应该用CONNMARK了..这是对整个连接的包进行限速成了...也正是我们需要的..
OUMULONG 发表于 2010-08-04 16:45 [/quote]
对,就是这个意思[quote]等白金大哥来成都开课学习了......................
Oumulong 发表于 2010-08-04 17:12 [/quote]
呵呵,如果有机会一定去[code]iptables -t mangle -A PREROUTING -m layer7--l7proto httpa -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --sport 80-m mark ! --mark1 -j CONNMARK--set-mark2[/code]今天想通过L7作标记进行限速..写了二句.第一句把httpa特殊的数据包标记为1http://005go.dqzpark.gov.cn,
第二句对非标记记1的数据包作标记2,在这里我用的是CONNMARK ,我不能确认在此用MARK,,还是CONNMAKR ,包括-mmark 还是-m connmark
配置目的就是为了让httpa 特征以外的80端口数据被限速
请指教下....应该用 MARK 而不是 CONNMARK
因为 tc 只认 MARK 而不是 CONNMARK留记号,最近要用要学习的东西还很多啊,收藏了
C++到底有多复杂,没有人知道,我们知道的,
加上更加多元化的消息来源是一件好事,但也带来了一些担忧。
从一些个人博客到专业的新闻网站Huffington Post,这些都在很短的时间内迅速发展起来。
并且,代码审查对消除一些特别细节的错误大有裨益,
-m mark
-m connmark
-j MARK
-j CONNMARK
-j CONNSECMARK
-j SECMARK小写的是数据包匹配模块,大写的是数据包修改模块
带 CONN 的是连接的标记,不带的是标记数据包的
带 SEC 的是用于处理 IPSEC 数据的,不带的是处理一般数据的白金大哥几句就概括了大的方向...利害啊...
[quote]CONNMARK target options:
--set-xmark value[/ctmask] Zero mask bits and XOR ctmark withvalue
--save-mark [--ctmask mask]
vnc客户端无法与vnc server同步
[--nfmask mask]Copy ctmark to nfmark using masks
--restore-mark [--ctmask mask] [--nfmask mask]
Copy nfmark to ctmark using masks
--set-mark value[/mask] Set conntrack mark value
--save-mark [--mask mask] Save the packet nfmark in theconnection
--restore-mark [--mask mask]Restore saved nfmark value
--and-mark value Binary AND the ctmark with bits
--or-mark value Binary ORthe ctmark with bits
--xor-mark value Binary XOR the ctmark with bits[/quote]
在这个模块中..--save-mark,--set-mark,--restore-mark
这些常用的..如何用..有什么区别呢??搞不明白自己配置防火墙策略必须得懂这些。[quote]白金大哥几句就概括了大的方向...利害啊...
在这个模块中..--save-mark,--set-mark,--restore-mark...
Oumulong 发表于 2010-08-04 13:41 [/quote]
--set-mark value[/mask] Set conntrack mark value
--save-mark [--mask mask] Save the packet nfmark in theconnection
--restore-mark [--mask mask]Restore saved nfmark value
就像描述中说的一样
--set-mark 是直接设置连接中的 mark(注意,不是设置数据包的)
--save-mark 是把数据包中的 mark 设置到连接中
--restore-mark 是把连接中的 mark 设置到数据包中
具体这些功能有什么意义呢?看如下规则[code]
iptables -t mangle -A INPUT -m state --state NEW-j MARK --set-mark1
iptables -t mangle -A INPUT -j CONNMARK --save-mark
iptables -t mangle -A INPUT -j CONNMARK --restore-mark
[/code]虽然只匹配了每个连接的第一个包,但通过后面两个操作,使得这个连接的每个包都被设置成了 MARK 1
这个功能在 ipp2p 结合 tc 进行限速时特别有用
[url]http://www.ipp2p.org/docu_en.html#example[/url]学习了路过,学习总算明白这个功能在对包和连接作标记的应用了.....
再次非常感谢白金大哥..................
趁热打铁....下现几个项的应用呢...............
--and-mark value Binary AND the ctmark with bits
--or-mark value Binary ORthe ctmark with bits
--xor-mark value Binary XOR the ctmark with bits
--set-xmarkvalue[/ctmask]自己去研究吧http://cjict.xdq.gov.cn,呵呵对于限速来说...包肯定是在某一个连接中...
就象之前我用IPTABLESL7标记文件大小限制速度..那就应该用CONNMARK了..这是对整个连接的包进行限速成了...也正是我们需要的..
但白金大哥说过..L7本身就有连接跟踪的作用..而IP2PP没有...所以得通过上面的方式..转换成第个包...
作了个小节....呵等白金大哥来成都开课学习了......................iptables -t mangle -APOSTROUTING -o eth1 -m mark --mark 1 -j CLASSIFY --set-class1:2
刚才白金大哥发http://13i0.wxzj.gov.cn的..里面有个CLASSIFY..我路由也有这个模块..正好测试一下..限速的灵活更大强大了.........[quote]就象之前我用IPTABLESL7标记文件大小限制速度..那就应该用CONNMARK了..这是对整个连接的包进行限速成了...也正是我们需要的..
OUMULONG 发表于 2010-08-04 16:45 [/quote]
对,就是这个意思[quote]等白金大哥来成都开课学习了......................
Oumulong 发表于 2010-08-04 17:12 [/quote]
呵呵,如果有机会一定去[code]iptables -t mangle -A PREROUTING -m layer7--l7proto httpa -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -p tcp --sport 80-m mark ! --mark1 -j CONNMARK--set-mark2[/code]今天想通过L7作标记进行限速..写了二句.第一句把httpa特殊的数据包标记为1http://005go.dqzpark.gov.cn,
第二句对非标记记1的数据包作标记2,在这里我用的是CONNMARK ,我不能确认在此用MARK,,还是CONNMAKR ,包括-mmark 还是-m connmark
配置目的就是为了让httpa 特征以外的80端口数据被限速
请指教下....应该用 MARK 而不是 CONNMARK
因为 tc 只认 MARK 而不是 CONNMARK留记号,最近要用要学习的东西还很多啊,收藏了
C++到底有多复杂,没有人知道,我们知道的,
加上更加多元化的消息来源是一件好事,但也带来了一些担忧。
从一些个人博客到专业的新闻网站Huffington Post,这些都在很短的时间内迅速发展起来。
并且,代码审查对消除一些特别细节的错误大有裨益,
本文链接: http://ctmark.immuno-online.com/view-690092.html
发布于 : 2021-03-24
阅读(0)
最新动态
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
2021-03-24
公司介绍
品牌分类
联络我们
