概述

我必须为路由器编写bash脚本来控制给定域名上给定用户的带宽限制. 为此,我使用iptables将从受限域传入的数据包标记为专用网络中的用户IP地址.对于每对夫妇user_ip / domain_ip,我有一个密钥,我可以用它来标记数据包. 我在mangle表中添加这些规则,如下所示： $iptables -t mangle -A PRERoutING -p tcp -d $userIp -s $

我必须为路由器编写bash脚本来控制给定域名上给定用户的带宽限制.

为此,我使用iptables将从受限域传入的数据包标记为专用网络中的用户IP地址.对于每对夫妇user_ip / domain_ip,我有一个密钥,我可以用它来标记数据包.

我在mangle表中添加这些规则,如下所示：

$iptables -t mangle -A PRERoutING -p tcp -d $userIp -s $reStrictedDom -j MARK --set-mark $id 
$iptables -t mangle -A PRERoutING -p tcp -d $userIp -s $reStrictedDom -j RETURN

nat表中的NAT设置(eth0是我的互联网接口,我使用tap0作为Lan接口)是

$iptables -t nat -A POSTRoutING -o eth0 -j MASQUERADE

我的Lan用户的数据包应该与mangle表中的规则匹配,但不能捕获.

示例:( PRERoutING CHAIN中的表格manglE)
例如,这用于标记来自slashdot.org的用于Lan网络中的用户192.168.0.2的分组.

Chain PRERoutING (policy ACCEPT 14858 packets,7215129 bytes)
pkts      bytes target     prot opt in     out     source               desTination      
 0        0 MARK       tcp  --  *      *       216.34.181.45        192.168.0.2         MARK xset 0x9/0xffffffff 
 0        0 RETURN     tcp  --  *      *       216.34.181.45        192.168.0.2

但是,如果我尝试在路由器的互联网接口上标记来自slashdot.org的数据包,则会捕获数据包,如果Lan中的计算机也会查询slashdot.org,则同样的规则也会标记它们.

所以我认为由于NAT转换存在问题,我不确切知道何时以及以何种顺序应用规则.

第一次,我的NAT设置在iptables中是好还是不完整？
我是否错过了关于规则或iptables概念的重要事项？

提前致谢.