请教高手：用 iptables 如何统计一个端口所有协议的流量？不仅仅是 tcp 或者 udp

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Distributions

› Ubuntu

› Fedora

› CentOS

中文资源站

› 网易开源镜像站

这是一个创建于 3449 天前的主题，其中的信息可能已经有所发展或是发生改变。

一直以来都是用下面这样的命令，端口 2G 流量后停止
-A OUTPUT -p tcp --sport 3990 -m quota --quota 2000000000 -j ACCEPT
-A OUTPUT -p tcp --sport 3990 -j DROP

但是今天看 iptables 的说明发现有说 -p 后面可以加上 all 参数或者默认就是包括 tcp udp icmp sctp 等协议。

我就想改成下面这样，实现一个端口上的所有流量总计 2G
-A OUTPUT -p all --sport 3990 -m quota --quota 2000000000 -j ACCEPT
-A OUTPUT -p all --sport 3990 -j DROP

但是发现这个命令不行。难道这种写法不对？

或者有没有其他的 iptables 命令能否统计一个端口的 tcp 和 udp 协议总共流量达到 2G 后 DROP 掉数据？

第 1 条附言 · 2016-05-22 23:50:29 +08:00

现在确认-p all 后面不可以加-dport 或者-sport ，现在的问题是，如何统计一个端口的 tcp 和 udp 流量来实现达到指定流量后 drop 该端口的数据？

9 条回复 • 2020-02-20 23:17:44 +08:00

xencdn

2016-05-22 22:57:03 +08:00

我尝试了确实不行用非参数来匹配也不可以
iptables -A OUTPUT ! --protocol icmp --sport 3990 -m quota --quota 2000000000 -j ACCEP

解答如下
http://serverfault.com/questions/279361/iptables-p-all-dport

--dport is not a flag for general iptables rules. It's a flag for one of it's extended packet matching modules. These are loaded when you use -p protocol or -m. Unless you specify -m <protocol> or -p <protocol> with a specific protocol you can't use --dport

You'll see this within the iptables(8) manual page:

itsme

2016-05-22 23:07:27 +08:00

@xencdn 明白他的意思，就是说--dport --sport 实际是-p 和-m 的参数。
所以上面写法是不对的。

现在问题就是，如何实现我想的那种统计一个端口的 tcp 和 udp 的流量达到数值后该端口就 drop 数据？

不知道有没有其他思路？

ToughGuy

2016-05-23 00:38:55 +08:00

iptables -N TRAFFIC_QUOTA
iptables -A OUTPUT -p tcp --sport 3990 -g TRAFFIC_QUOTA
iptables -A OUTPUT -p udp --sport 3990 -g TRAFFIC_QUOTA

iptables -A TRAFFIC_QUOTA -m quota --quota 2000000000 -j ACCEPT
iptables -A TRAFFIC_QUOTA -j DROP

试试这个