请教高手：用 iptables 如何统计一个端口所有协议的流量？不仅仅是 tcp 或者 udp

Distributions

中文资源站

This topic created in 3642 days ago, the information mentioned may be changed or developed.

一直以来都是用下面这样的命令，端口 2G 流量后停止
-A OUTPUT -p tcp --sport 3990 -m quota --quota 2000000000 -j ACCEPT
-A OUTPUT -p tcp --sport 3990 -j DROP

但是今天看 iptables 的说明发现有说 -p 后面可以加上 all 参数或者默认就是包括 tcp udp icmp sctp 等协议。

我就想改成下面这样，实现一个端口上的所有流量总计 2G
-A OUTPUT -p all --sport 3990 -m quota --quota 2000000000 -j ACCEPT
-A OUTPUT -p all --sport 3990 -j DROP

但是发现这个命令不行。难道这种写法不对？

或者有没有其他的 iptables 命令能否统计一个端口的 tcp 和 udp 协议总共流量达到 2G 后 DROP 掉数据？

Supplement 1 May 22, 2016

现在确认-p all 后面不可以加-dport 或者-sport ，现在的问题是，如何统计一个端口的 tcp 和 udp 流量来实现达到指定流量后 drop 该端口的数据？

9 replies 2020-02-20 23:17:44 +08:00

xencdn

May 22, 2016

我尝试了确实不行用非参数来匹配也不可以
iptables -A OUTPUT ! --protocol icmp --sport 3990 -m quota --quota 2000000000 -j ACCEP

解答如下
http://serverfault.com/questions/279361/iptables-p-all-dport

--dport is not a flag for general iptables rules. It's a flag for one of it's extended packet matching modules. These are loaded when you use -p protocol or -m. Unless you specify -m <protocol> or -p <protocol> with a specific protocol you can't use --dport

You'll see this within the iptables(8) manual page:

itsme

May 22, 2016

@xencdn 明白他的意思，就是说--dport --sport 实际是-p 和-m 的参数。
所以上面写法是不对的。

现在问题就是，如何实现我想的那种统计一个端口的 tcp 和 udp 的流量达到数值后该端口就 drop 数据？

不知道有没有其他思路？

ToughGuy

May 23, 2016

iptables -N TRAFFIC_QUOTA
iptables -A OUTPUT -p tcp --sport 3990 -g TRAFFIC_QUOTA
iptables -A OUTPUT -p udp --sport 3990 -g TRAFFIC_QUOTA

iptables -A TRAFFIC_QUOTA -m quota --quota 2000000000 -j ACCEPT
iptables -A TRAFFIC_QUOTA -j DROP

试试这个