URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96912
[ Назад ]

Исходное сообщение
"iptables прохождение цепочки"
Отправлено АлексейТ , 09-Июн-17 15:43

Добрый день,
Использую для ограничения скорости tc и iptables, ipset
для tc маркирую пакеты следующем образом
-A FORWARD -m set --match-set 20 src -j MARK --set-xmark 0x14/0xffffffff
-A FORWARD -m set --match-set 20 dst -j MARK --set-xmark 0x14/0xffffffff
-A FORWARD -m set --match-set 10 src -j MARK --set-xmark 0xa/0xffffffff
-A FORWARD -m set --match-set 10 dst -j MARK --set-xmark 0xa/0xffffffff

Обратил внимание, что у меня на iptables пакет проходит всю цепочку правил, то есть если ip будет в таблице 10 и таблице 20, то скорость будет соответствовать 10й так как она последняя, есть ли возможность прохождения пакета по цепочки до первого совпадения?

Содержание

iptables прохождение цепочки,omnomnin, 17:30 , 09-Июн-17
- iptables прохождение цепочки,АлексейТ, 17:30 , 11-Июн-17

Сообщения в этом обсуждении

"iptables прохождение цепочки"
Отправлено omnomnin , 09-Июн-17 17:30

1) маркировать _обычно_ надо в -t mangle
2)

-A FORWARD -m set --match-set 20 src -m mark --mark 0 -j MARK --set-xmark 0x14/0xffffffff
-A FORWARD -m set --match-set 20 dst -m mark --mark 0 -j MARK --set-xmark 0x14/0xffffffff
-A FORWARD -m set --match-set 10 src -m mark --mark 0 -j MARK --set-xmark 0xa/0xffffffff
-A FORWARD -m set --match-set 10 dst -m mark --mark 0 -j MARK --set-xmark 0xa/0xffffffff

таким образом маркироваться будут только НЕ промаркированные пакеты

"iptables прохождение цепочки"
Отправлено АлексейТ , 11-Июн-17 17:30

Судя по тексту особенность в -m mark --mark 0
Спасибо, попробую добавить.