亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: iptables設(shè)置mark后snat的一個(gè)詭異現(xiàn)象 [打印本頁]
作者: loler_zuan    時(shí)間: 2013-12-17 18:07
標(biāo)題: iptables設(shè)置mark后snat的一個(gè)詭異現(xiàn)象
先簡(jiǎn)單說說需求。兩個(gè)wan口,n個(gè)lan口,根據(jù)不同的協(xié)議進(jìn)行不同的轉(zhuǎn)發(fā)。
我用的是clearos和layer7-user-space。
對(duì)每個(gè)數(shù)據(jù)包打標(biāo)記8。如果標(biāo)記8則轉(zhuǎn)發(fā)到wan1,否則轉(zhuǎn)發(fā)到wan2。
之后設(shè)置snat,如果標(biāo)記8,snat的源地址改為wan1的地址。否則同理設(shè)置為wan2的。
感覺這樣設(shè)置沒問題了。但是出現(xiàn)了下面的情況。

上面的policy ACCEPT接受0個(gè)包,為什么下面的規(guī)則還有處理的數(shù)據(jù)包?

下面附上我的設(shè)置。  我的layer7給QQ協(xié)議打標(biāo)記8,經(jīng)測(cè)試,這步肯定沒問題。
我的環(huán)境是用虛擬機(jī)搭建的。wan1和wan2其實(shí)都是局域網(wǎng)內(nèi)分配的,網(wǎng)管是192.168.72.254
我執(zhí)行了下面的腳本

#! /bin/sh
ip route add table 8 via 192.168.72.254 dev eth1 #這個(gè)是wan2,對(duì)應(yīng)的IP是192.168.72.106
ip route add table 10 via 192.168.72.254 dev eth0 #這個(gè)是wan1,對(duì)應(yīng)的IP是192.168.72.103
iptables -F
iptables -t mangle -A PREROUTING -s 192.168.164.0/24 -j NFQUEUE
iptables -t mangle -A PREROUTING -d 192.168.164.0/24 -j NFQUEUE #這兩步是為了layer在用戶態(tài)可以執(zhí)行,這步設(shè)置沒問題

iptables -t nat -A POSTROUTING -m mark ! --mark 8 -j SNAT --to-source 192.168.72.103
iptables -t nat -A POSTROUTING -m mark --mark 8 -j SNAT --to-source 192.168.72.106

跟蹤各個(gè)規(guī)則,發(fā)現(xiàn)在POSTROUTING的mangle點(diǎn)的hook函數(shù)中,還可以檢測(cè)到被標(biāo)記的數(shù)據(jù)包。
到下一個(gè)hook函數(shù),也就是nat表中的函數(shù),就檢測(cè)不到了。
出現(xiàn)了上面圖片的結(jié)果。
這什么情況。客耆珱]頭緒



歡迎光臨 Chinaunix (http://www.72891.cn/) Powered by Discuz! X3.2