#iptables -A PREROUTING -t mangle -p tcp -j CONNMARK --restore-mark上面代码表明从CONNMARK目标中恢复标记 。
#iptables -A PREROUTING -t mangle -p tcp -m mark ! --mark 0 -j ACCEPT上面代码表明接收所有非0的标记包 。
#iptables -A PREROUTING -t mangle -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1上面代码表明将ipp2p连接标记为“1” 。
#iptables -A PREROUTING -t mangle -p tcp -m mark --mark 1 -j CONNMARK --save-mark上面代码表明保存所有标记为“1”的包到CONNMARK目标中 。通过上面设置得到的结果是,每一个标示为P2P连接的包被标记成“1”,然后再通过tc过滤,执行下面的操作:
#tc filter add dev eth0 parent 1:0 protocol ip prio 4 handle 1 fw classid 1:11#tc filter add dev eth1 parent 2:0 protocol ip prio 4 handle 1 fw classid 2:11
使用HTB和过滤,将所有标记为“1”的包放到每一个设备类中,通过对这些设备类的限制来达到对P2P连接带宽的限制 。更多的信息可以参考http://rnvs.informatik.uni-leipzig.de/ipp2p/ 。
应用效果
笔者在单位防火墙上应用了iptables-p2p和ipp2p配置,对P2P的FastTrack协议进行限制后,用贪婪BT(ABC)进行测试,取得了理想的效果,能有效地限制P2P通信如图1) 。
推荐阅读
- 枣树绿盲蝽怎样防治
- 全方位体验小6
- 新鲜排骨怎么储存保鲜
- 低处的水管怎样把水流向高处
- 江南百景图喜笑颜开旗有什么用
- 社会活动家是怎样的一种职业
- 华为nova6se手机克隆怎么用
- 第一次用微信交水费怎样交
- Redmi k30用的什么散热系统
- 学生问老师可以用不耻下问吗