From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-1.5 required=5.0 tests=AWL,BAYES_00 autolearn=ham version=3.2.3 Date: Wed, 28 May 2008 09:02:55 +0400 From: Alexander Volkov To: sysadmins@lists.altlinux.org Message-ID: <20080528050253.GF27143@xeon.vladregion.ru> Mail-Followup-To: sysadmins@lists.altlinux.org References: <200805251109.50239.skompan@kspu.kr.ua> <200805261736.20887.vip0@seversk.ru> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: User-Agent: Mutt/1.4.2.3i X-Spamd-Status: OK X-Spamd-Score: -2.000 X-Spamd-Threshold: 6.000 X-Spamd-Keywords: BAYES_00,NO_RELAYS X-AV-Checked: ClamAV Subject: Re: [Sysadmins] iptables -j MARK X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 28 May 2008 05:02:59 -0000 Archived-At: List-Archive: On 2008-05-28 02:41:52 +0300, Andrew Kornilov wrote: AK> Vyatcheslav Perevalov writes: AK> > В сообщении от 26 мая 2008 Andrew Kornilov написал(a): AK> >> Нет ли у кого-нибудь под рукой машинки с AK> >> ядром 2.4 или хотя бы первых 2.6 и старого iptables? AK> > AK> > Есть ALM2.4 AK> > [vip@vipnet vip]$ uname -a AK> > Linux vipnet.seversk.ru 2.4.26-std-up-alt6 #1 Tue Aug 3 21:45:23 MSD 2004 AK> > i586 AK> Во, отлично. Можешь попробовать добавить два правила. Что-то вроде: AK> iptables -A OUTPUT -t mangle -p tcp --dport 123:567 -j MARK --set-mark 123 AK> iptables -A OUTPUT -t mangle -p tcp --dport 256:890 -j MARK --set-mark 123 AK> И потом сделать telnet любойхост 345 AK> Смысл в том, чтобы сделать telnet на порт, который попадает в условия обоих AK> правил. После этого посмотри iptables -L -n -v -t mangle, увеличились оба AK> счетчика или только первый? [root@gate-luna root]# telnet 192.168.2.32 345 Trying 192.168.2.32... telnet: connect to address 192.168.2.32: Connection refused [root@gate-luna root]# telnet 192.168.2.99 345 Trying 192.168.2.99... telnet: connect to address 192.168.2.99: Connection refused [root@gate-luna root]# iptables -L -n -v -t mangle Chain PREROUTING (policy ACCEPT 1950K packets, 1223M bytes) pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 99189 packets, 24M bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 1851K packets, 1199M bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 42696 packets, 6988K bytes) pkts bytes target prot opt in out source destination 0 0 TOS all -- * * 0.0.0.0/0 85.249.89.103 TOS set 0x10 2 104 MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:123:567 MARK set 0x7b 2 104 MARK tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:256:890 MARK set 0x7b Как вижу, оба. 2.4.26-std-smp-alt11.1, ALM24 -- Regards, Alexander