iptables match顺序问题

platinum

bcount 模块我没见过
mport 模块在低版本命名为 multiport
建议使用高版本内核及用户态控制程序

david224

谢谢白金老大和zhoutao0712 兄。
bcount模块只有bcm芯片的路由器tomato固件上面有
multiport我已经成功编译

poseidonyu

-L里面看到的match的显示顺序就是匹配的顺序吧。

-L从kernel中获得rule的信息，match部分是顺序显示的，也就是kernel里面match就是这个顺序排列的。
而kernel里面判断match与否的动作：

unsigned int
ipt_do_table(struct sk_buff **pskb,
             unsigned int hook,
             const struct net_device *in,
             const struct net_device *out,
             struct ipt_table *table,
             void *userdata)
{
...
        private = table->private;
        table_base = (void *)private->entries[smp_processor_id()];
        e = get_entry(table_base, private->hook_entry[hook]);
...
        do {                                         ----- e是逐条rule
                IP_NF_ASSERT(e);
                IP_NF_ASSERT(back);
                if (ip_packet_match(ip, indev, outdev, &e->ip, offset)) {
                        struct ipt_entry_target *t;

                        if (IPT_MATCH_ITERATE(e, do_match,
                                              *pskb, in, out,
                                              offset, &hotdrop) != 0)
                                goto no_match;

就是按照这个排列顺序。

zhoutao0712

高手在CU的帐号都是“新手”

ok_lin

原帖由 poseidonyu 于 2010-1-22 13:37 发表
-L里面看到的match的显示顺序就是匹配的顺序吧。

-L从kernel中获得rule的信息，match部分是顺序显示的，也就是kernel里面match就是这个顺序排列的。
而kernel里面判断match与否的动作：

unsigned int
i ...

这个应该是正解，不错，高手。

sdzzzxj

学习了，帮楼主顶一下