Нещо странно се получава с iptables на моя компютър:
Ситуацията е следната:
В локалната мрежа имам компютър с Линукс, който работи като бридж създаден с помощта на proxy_arp, с две мрежови карти. Бих искал да броя трафика, минаващ през бриджа, който е от и за локалната мрежа или влиза/излиза от бриджа пак за локалната мрежа. За целта използвам iptables по следния начин:
Локалната мрежа е: 192.168.2.0/24
iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT DROP
iptables -t filter -N LOCAL_NET_IN_OUT;
# маркирам пакетите от и за локалната мрежа в mangle таблицата
iptables -t mangle -A FORWARD -s 192.168.2.0/24 -d 192.168.2.0/24 -j MARK --set-mark 1
iptables -t mangle -A INPUT -s 192.168.2.0/24 -j MARK --set-mark 1
iptables -t mangle -A OUTPUT -d 192.168.2.0/24 -j MARK --set-mark 1
# после във filter таблицата ги насочвам към новосъздадената # LOCAL_NET_IN_OUT верига с цел точно там да става броенето за # всеки отделен хост
iptables -t filter -A FORWARD -m mark --mark 15 -j LOCAL_NET_IN_OUT iptables -t filter -A INPUT -m mark --mark 15 -j LOCAL_NET_IN_OUT iptables -t filter -A OUTPUT -m mark --mark 15 -j LOCAL_NET_IN_OUT
И така дотук всичко работи добре, обаче в следващия момент искам
във веригата LOCAL_NET_IN_OUT за всеки хост от мрежата да създам по едно входно и едно изходно правило за да мога да броя на всеки хост входящия и изходящия трафик спрямо бриджа, като изходящите за хоста пакети да се приемат само ако ip и mac адреса съвпадат. Правя го така например за хост 192.168.2.25
# тук отчитам входящия за хост 192.168.2.25 трафик iptables -t filter -A LOCAL_NET_IN_OUT -d 192.168.2.25 -j ACCEPT
# тук отчитам изходящия му трафик и пакета се приема само ако ip и
# mac адресите съвпаднат
iptables -t filter -A LOCAL_NET_IN_OUT -s 192.168.2.25 -m mac --mac-source 00:01:02:03:04:05 -j ACCEPT
и точно в последния ред възниква проблема. Когато го въведа и натисна ENTER iptables ми дава следната грешка:
iptables: Invalid argument
и само това нищо повече, ако премахна проверката за mac адрес всичко върви без грешка, обаче на мен ми е необходима тази проверка.
Моля, ако някой има идея защо се получава това и как може да се преодолее нека пише в листата.
Предварително благодаря!
Поздрави: Илия Линдов ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
