linux网桥做流量控制时使用iptables的MARK问题

dreamever

好像没有

[root@WLZX-ZWS-LINUX dream]# iptables-save -ct mangle
# Generated by iptables-save v1.3.7 on Thu Jun 28 16:32:21 2007
*mangle
REROUTING ACCEPT [561383:608877394]
:INPUT ACCEPT [22663:2370213]
:FORWARD ACCEPT [542103:607005640]
:OUTPUT ACCEPT [23633:2629640]
OSTROUTING ACCEPT [566804:609818173]
[0:0] -A PREROUTING -d 59.68.192.130 -i eth2 -j MARK --set-mark 0xb
[0:0] -A PREROUTING -d 59.68.192.130 -i eth2 -j RETURN
[0:0] -A PREROUTING -s 59.68.192.130 -i eth1 -j MARK --set-mark 0x16
[0:0] -A PREROUTING -s 59.68.192.130 -i eth1 -j RETURN
COMMIT
# Completed on Thu Jun 28 16:32:21 2007

dreamever

就算是网桥模式数据应该也要经过mangle的prerouting的。

phoenixson

图画的好强啊，很不错啊

wysilly

两点要注意
1.rp_filter最好为0.
2.打标时最好使用phydev区分出入口.

给一个参考地址
http://note.online-linux.net/ind ... eId=12&blogId=1

platinum

很奇怪，为什么 2.4 内核就不用

wysilly

唉,官方文档n久不更新,真是太懒了.要找答案,就只有看相关邮件列表和自己动手了.

呵呵.这就是命.

platinum

iptables 出 1.3.8 了，changlog 这才提到更新了 man page，官方的很多程序更新很快，但文档跟进速度不够啊

dreamever

十分感谢各位的热心指点，问题总算告一段落了，其中还有很多不太明白的地方需要日后慢慢研究和学习。

在网桥模式下使用下列脚本没有问题：
iptables -t mangle -A FORWARD -m physdev --physdev-in eth2 --physdev-out eth1 -s 90.0.11.66/32 -j MARK --set-mark 11
iptables -t mangle -A FORWARD -m physdev --physdev-in eth1 --physdev-out eth2 -d 90.0.11.66/32 -j MARK --set-mark 22

网上看到的绝大部分都使用的PREROUTING ，我测试了数百遍了，不管是 -s 还是 -d 就算加上-m physdev 也还是不打标，使用FORWARD -m physdev 可以匹配到。

另外，经过数百遍的测试发现，如果不使用-j MARK ，而使用 -j DROP 不存在上面各楼提到的问题，不管是使用mangle还是filter用-s或-d都可以解决问题。使用MARK的话就要用FORWARD -m physdev 了，不知道其他的同志们遇到过类似的问题没有。

lujian19861986

回复 38# dreamever


    受用了，我测试了一下。环境，lan口：eth0  wan口：eth1、eth2...
目的：要求192.168.1.100到wan2的数据包（可以加条件是否QQ的包）进tc做qos，iptables规则如下：
上传包：iptables -t mangle -A FORWARD -i eth0 -o eth2 -s 192.168.1.100 -j MARK --set-mark 111
下载包：iptables -t mangle -A FORWARD -i eth2 -d 192.168.1.100 -j MARK --set-mark 111