我必须为路由器编写bash脚本来控制给定域名上给定用户的带宽限制.
为此,我使用iptables将从受限域传入的数据包标记为专用网络中的用户IP地址.对于每对夫妇user_ip / domain_ip,我有一个密钥,我可以用它来标记数据包.
我在mangle表中添加这些规则,如下所示:
$iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j MARK --set-mark $id $iptables -t mangle -A PREROUTING -p tcp -d $userIp -s $restrictedDom -j RETURN
nat表中的NAT设置(eth0是我的互联网接口,我使用tap0作为Lan接口)是
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
我的Lan用户的数据包应该与mangle表中的规则匹配,但不能捕获.
示例:( PREROUTING CHAIN中的表格mangle)
例如,这用于标记来自slashdot.org的用于Lan网络中的用户192.168.0.2的分组.
Chain PREROUTING (policy ACCEPT 14858 packets,7215129 bytes) pkts bytes target prot opt in out source destination 0 0 MARK tcp -- * * 216.34.181.45 192.168.0.2 MARK xset 0x9/0xffffffff 0 0 RETURN tcp -- * * 216.34.181.45 192.168.0.2
但是,如果我尝试在路由器的互联网接口上标记来自slashdot.org的数据包,则会捕获数据包,如果Lan中的计算机也会查询slashdot.org,则同样的规则也会标记它们.
所以我认为由于NAT转换存在问题,我不确切知道何时以及以何种顺序应用规则.
第一次,我的NAT设置在iptables中是好还是不完整?
我是否错过了关于规则或iptables概念的重要事项?
提前致谢.
解决方法
我认为您应该使用POSTROUTING mangle表,因为您在NAT引擎之前标记了PREROUTING中的数据包.
看看IPTABLE链:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。