iptables connbytes 模块使用？

bfz814

iptables 1.4.2  版本

1. [root@bfz ~]# iptables -t mangle -A PREROUTING -m connbytes --connbytes 1000:10000 --connbytes-dir both --connbytes-mode bytes -j DROP
   
2. iptables: No chain/target/match by that name
   

复制代码

这是为什么？  添加到别的chain 也说 没有No chain/target/match by that name

platinum

# find /lib/modules -name "*_connbytes*"
如果没有，就是内核没有相应模块可以使用

bfz814

回复 2# platinum


  嗯 ，知道了   的确是内核没有支持！{:3_180:}

bfz814

回复 2# platinum


    iptables -t mangle -A PREROUTING -m connbytes --connbytes 1000:10000 --connbytes-dir both --connbytes-mode bytes -j DROP

版主， 请问这句话我应该怎么理解？

platinum

匹配所有接触到 Linux 的数据包，当某个连接传输了 1000 到 10000 字节的时候（双向），这个数据包被丢弃

这个策略的逻辑是有问题的，因为一旦被 DROP ，就无法再突破 10000 而继续 ACCEPT 了

bfz814

回复 5# platinum


    哦 也就是说限制一个连接传输数据的最多传输1000-10000字节（双向），如果超过10000就会DROP这个数据包  

这么说对么？

bfz814

匹配所有接触到 Linux 的数据包，当某个连接传输了 1000 到 10000 字节的时候（双向），这个数据包被丢弃
...
platinum 发表于 2010-06-29 17:01

    1000到10000 时候丢弃 数据包？  这个不懂！


还是没有懂 connbytes 模块的作用 ，希望版主解惑！！ 感谢

platinum

回复  platinum


    哦 也就是说限制一个连接传输数据的最多传输1000-10000字节（双向），如果超过10 ...
bfz814 发表于 2010-06-29 17:04

match 的目的是匹配
你匹配的范围是 both 双向，1000:10000 的范围，匹配到的动作是 DROP
你的逻辑是想匹配双向已经传输了 1000 到 10000 字节的连接，然后阻断它

就好比 limit 模块，很多人去用 -m limit --limit 1/s -j ACCEPT，这个逻辑是错误的

Oumulong

这个模块我试过。还是好用的。说明上说一般是和TC流量限速一起用。。



-m connbytes --connbytes 1000:

就是一个连接的速度大于1000后。。可以作个标记。。让它走低速或者指定速度的类。。。

很有效果。。