1 234 / 4 页下一页

[网络管理] iptables match顺序问题 [复制链接]

platinum

广告杀手

论坛徽章:: 0

21楼 [报告]

发表于 2010-01-20 12:26 |只看该作者

系统启动后 insmod m1 m2 m3
策略使用 m3 m2 m1 的顺序测试

发现既不是按照m1 m2 m3 也不是按照m3 m2 m1

是按照当你输入iptables -vnL查看时打印出来的顺序来匹配的。

那么这个 -vnL 的顺序又是怎么来的呢？值得研究一下
另外，我还没发现过设置策略时和显示时不一样的情况
-vnL 和 iptables-save 的顺序又是否一致呢？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

zhoutao0712

稍有积蓄

论坛徽章:: 0

22楼 [报告]

发表于 2010-01-20 12:53 |只看该作者

不懂系统编程，弱弱的发表点意见：
是否和下面的这个有关

# cat /proc/net/ip_tables_matches
length
bcount
tcpseq
mport
tcpmss
connmark
udplimit
connlimit
state
recent
mac
mark
iprange
limit
tcp
udp
icmp

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ok_lin

白手起家

论坛徽章:: 0

23楼 [报告]

发表于 2010-01-20 14:23 |只看该作者

原帖由 platinum 于 2010-1-20 12:26 发表

那么这个 -vnL 的顺序又是怎么来的呢？值得研究一下
另外，我还没发现过设置策略时和显示时不一样的情况
-vnL 和 iptables-save 的顺序又是否一致呢？

linux> iptables -t mangle -A HOSTBW -m ttl --ttl-eq 300 -m tos --tos 16  -j ACCEPT
linux> iptables -t mangle -A HOSTBW -m tos --tos 16 -m ttl --ttl-eq 300  -j ACCEPT

以上两条规则-vnL显示一样的：
0    0 ACCEPT    all  --  *    *    0.0.0.0/0          0.0.0.0/0          TOS match 0x10 TTL match TTL == 44
   0    0 ACCEPT    all  --  *    *    0.0.0.0/0          0.0.0.0/0          TOS match 0x10 TTL match TTL == 44

我用的是iptables-1.2.9

[ 本帖最后由 ok_lin 于 2010-1-20 14:25 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ok_lin

白手起家

论坛徽章:: 0

24楼 [报告]

发表于 2010-01-20 14:28 |只看该作者

原帖由 zhoutao0712 于 2010-1-20 12:53 发表
不懂系统编程，弱弱的发表点意见：
是否和下面的这个有关

# cat /proc/net/ip_tables_matches
length
bcount
tcpseq
mport
tcpmss
connmark
udplimit
connlimit
state
recent
mac
mark
ipran ...

感谢这位兄弟，我试了一下，似乎不是按这里的顺序。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

25楼 [报告]

发表于 2010-01-20 14:30 |只看该作者

# iptables -A FORWARD -m ttl --ttl-eq 30 -m tos --tos 16
# iptables -A FORWARD -m tos --tos 16 -m ttl --ttl-eq 30
# iptables -vnL FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 TTL match TTL == 30 TOS match 0x10
0 0 all -- * * 0.0.0.0/0 0.0.0.0/0 TOS match 0x10 TTL match TTL == 30
# iptables-save -ct filter
# Generated by iptables-save v1.4.0 on Wed Jan 20 14:30:25 2010
*filter
:INPUT ACCEPT [184:16578]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [161:18688]
[0:0] -A FORWARD -m ttl --ttl-eq 30 -m tos --tos Minimize-Delay
[0:0] -A FORWARD -m tos --tos Minimize-Delay -m ttl --ttl-eq 30
COMMIT
# Completed on Wed Jan 20 14:30:25 2010
# iptables -V
iptables v1.4.0

复制代码

我的没有问题
但 TTL 最大只能 255，我设置 300 时报错，因此改成了 30
可能你的版本太低了

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ok_lin

白手起家

论坛徽章:: 0

26楼 [报告]

发表于 2010-01-20 14:46 |只看该作者

原帖由 platinum 于 2010-1-20 14:30 发表

# iptables -A FORWARD -m ttl --ttl-eq 30 -m tos --tos 16
# iptables -A FORWARD -m tos --tos 16 -m ttl --ttl-eq 30

# iptables -vnL FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
...

应该是版本不一样，1.2.9的就是这样的，很郁闷，只有修改Makefile才可以改变位置。

感谢版主及各位的关注，谁要是研究透了请告诉我啊。谢谢！

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

27楼 [报告]

发表于 2010-01-20 14:51 |只看该作者

为什么修改 Makefile 就可以改变位置？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ok_lin

白手起家

论坛徽章:: 0

28楼 [报告]

发表于 2010-01-20 15:17 |只看该作者

原帖由 platinum 于 2010-1-20 14:51 发表
为什么修改 Makefile 就可以改变位置？

我原来提到过initext.c这个文件，它是iptables的extensions目录下文件不编译成.so时由Makefile生成的，
而文件中ipt_(模块名)_init() 的顺序是以后iptables规则中模块的匹配顺序，只要修改Makefile中变量PF_EXT_SLIB中的模块顺序就可以了。

PF_EXT_SLIB:=ah connlimit connmark ... ... layer7 LAYER7

具体iptables以后怎么操作的我没去研究。

版主可以编个1.2.9的试试。