关于iptables mangle表的作用,请指教.

Suniverse

关于mangle表,我查了几篇文章，都说是在一些“特殊的应用上”。

还有说是关联数据包的服务类型（TOS）。

不过在正常的策略配置中，比如-p tcp --dport 80 这样的条件不就是关联了服务类型了吗？

请问这个mangle表的作用到底是什么呢？

还有，看了本站的一个图，mangle表好像无论是进站还是出站，都在NAT表的前面，请问这个是什么作用呢？

谢谢各位，请指点小弟一下.

[ 本帖最后由 Suniverse 于 2007-2-10 13:07 编辑 ]

Suniverse

顶起来，请高手赐教.

5iwww

关注 mangle 和普通表的区别。。。。。。。。

wildlily980

据说mangle可以改变ttl值。其实可以google一下吧。

platinum

mangle 表用于修改

Suniverse

原帖由 platinum 于 2007-2-11 13:21 发表于 5楼  
mangle 表用于修改

这几天看了版上一些精华帖子，里面有提到利用mangle给特定的服务打标记，然后利用这些来做QOS之类

请问platinum版主，你所指的修改，是什么呢？

能具体点举个例子吗？ 或者给个介绍的链接？

我自学LINUX的，新手，请多指点。。。谢谢了

platinum

对 MARK、TOS、TTL 等对数据包处理的时候都需要在 mangle 里做
具体使用例子去看手册，里面都有

Suniverse

非常感谢 platinum ！

5iwww

mangle表 在 nat filter 之前生效还是在之后生效呢？ 按理说应该在所有其他表之前吧。。。而且好像mangle也不只是打标记用的，如果懂就讲出来。

ppbbgg110

看了三天iptables.
只要看懂流程图就懂了。

  

                                           |-------------------->mangle->filter->------------------|

                                                                         -----------------      

                                           |                                       ||                                   |

                                                                                forward

                                           |                                                                             |

          ->mangle->nat->                                                                                     mangle->nat->

------------------------- routing                                                                          ------------------

                   ||                                                                                                            ||

               prerouting               |                                                                             |    postrouting

                                             

                                           |                                                                             |

                                          

                                           |->mangle->filter->localprocessor->mangle->nat->filter ->|

                                            -----------------                      -------------------

                                                       ||                                            ||

                                                     input                                        output



mangle :

TTL(生存周期，每经过一个路由器将减1.mangle可以修改此值设定TTL要被增加的值，比如--ttl-inc 4。假设一个进来的包的TTL是53，那么当它离开我们这台机子时，TTL应是多少呢？答案是56,原因同--ttl-dec。使用这个选项可以使我们的防火墙更加隐蔽，而不被trace-routes发现，方法就是设置--ttl-inc 1。原因应该很简单了，包每经过一个设备，TTL就要自动减1，但在我们的防火墙里这个1又被补上了，也就是说，TTL的值没变，那么trace-routes就会认为我们的防火墙是不存在的)



MARK（特殊标记，用来做高级路由
用来设置mark值，这个值只能在本地的mangle表里使用，不能用在其他任何地方，就更不用说路由器或另一台机子了。因为mark比较特殊，它不是包本身的一部分，而是在包穿越计算机的过程中由内核分配的和它相关联的一个字段。它可以和本地的高级路由功能联用，以使不同的包能使用不同的队列要求，等等。）





TOS(服务类型，根据不同的服务质量。来选择经过路由的路径。1、Minimize-Delay 16 (0x10)，要求找一条路径使延时最小，一些标准服务如telnet、SSH、FTP- control 就需要这个选项。

2、Maximize-Throughput 8 (0x0，要求找一条路径能使吞吐量最大，标准服务FTP-data能用到这个。

3、Maximize-Reliability 4 (0x04)，要求找一条路径能使可靠性最高，使用它的有BOOTP和TFTP。

4、Minimize-Cost 2 (0x02)，要求找一条路径能使费用最低，一般情况下使用这个选项的是一些视频音频流协议，如RTSP（Real Time Stream Control Protocol）。

5、Normal-Service 0 (0x00)，一般服务，没有什么特殊要求。这个值也是大部分包的缺省值。)