iptables 中mark的问题

zkheartboy

我就是想把整个连接都mark阿，这样才能匹配整个连接的数据包，谢谢楼上了。
不知道还有没有其他办法

zkheartboy

利用上面的表，我在filter表上做了一下实验，用mark可以匹配到数据包，不过加上-m state --state NEW 就匹配不到了，说明没有把整个连接的数据包都mark上。

platinum

原帖由 zkheartboy 于 2008-7-3 22:55 发表
我就是想把整个连接都mark阿，这样才能匹配整个连接的数据包，谢谢楼上了。
不知道还有没有其他办法

不知道我是不是没讲明白，还是我没有理解你的需求，你通过七层匹配然后转向的这个想法不可能实现的

platinum

原帖由 zkheartboy 于 2008-7-3 22:58 发表
利用上面的表，我在filter表上做了一下实验，用mark可以匹配到数据包，不过加上-m state --state NEW 就匹配不到了，说明没有把整个连接的数据包都mark上。

试验没错，但结论是错的
你只对该连接的一个包做了 MARK，之后该连接的后续所有包都有 MARK 了，难道还不算是连接的数据包都 MARK 了啊？
我之所以说你无法实现，原因在于你匹配 qq.com 的时候已经晚了，已经错过了连接的起始位置！

zkheartboy

原帖由 platinum 于 2008-7-3 23:03 发表

不知道我是不是没讲明白，还是我没有理解你的需求，你通过七层匹配然后转向的这个想法不可能实现的

谢谢指导，我的需求就是你说的七层匹配转向。我是想把用户请求的网址重定向到我给的文件
看来在iptables里面是不能实现了，只能用squid的重定向功能了。

platinum

其实就是想记录用户的 URL 吧？
这个可能需要用 squid 的功能来实现了，就是把所有网页都转到 squid 去识别
另一个方法是自己用 libpcap 库写一个监听程序，自己分析

zkheartboy

呵呵，只是把用户请求的网址改一下，返回我想给他的文件，不用记录url。
如果能用iptables实现就可以实现透明的防火墙，用了squid就只有在防火墙上设置一个对外的ip了。

platinum

需要自己编程了，其实也不难，参考 ipt_TTL.c 就行，需要注意的是要重新计算校验和

neten

路过，学习了！

hao_开心

学了不少 偶也看看去