Модифицировать CONNMARK через conntrack (netfilter & Co)
Здрасьте,
Возникла необходимость модифицировать значение метки соединения из
скрипта. Поставил conntrack. Вроде оно. Пишем:
# conntrack -L -i
tcp 6 429146 ESTABLISHED src=192.168.23.6 dst=192.168.20.133
sport=22 dport=51532 packets=20 bytes=3296 src=192.168.20.133
dst=192.168.23.6 sport=51532 dport=22 packets=25 bytes=1684 [ASSURED]
mark=0 use=1 id=1
tcp 6 431999 ESTABLISHED src=192.168.20.133 dst=192.168.23.6
sport=56117 dport=22 packets=9722 bytes=745868 src=192.168.23.6
dst=192.168.20.133 sport=22 dport=56117 packets=6229 bytes=1141283
[ASSURED] mark=0 use=1 id=50
tcp 6 430431 ESTABLISHED src=192.168.20.133 dst=172.16.1.10
sport=39870 dport=3389 packets=5932 bytes=653283 src=172.16.1.10
dst=192.168.20.133 sport=3389 dport=39870 packets=3319 bytes=237531
[ASSURED] mark=123 use=1 id=10
tcp 6 431997 ESTABLISHED src=192.168.20.133 dst=192.168.23.6
sport=56875 dport=5555 packets=71 bytes=3864 src=172.16.1.10
dst=192.168.20.133 sport=5555 dport=56875 packets=47 bytes=2620
[ASSURED] mark=10 use=1 id=137
Видим коннекты с метками, вроде всё нормально. Теперь хочется у коннекта
с id 137 изменить метку с 10 на 0.
Пробуем:
# conntrack -U conntrack -i 137 -m 0
conntrack v1.00beta2: You need to supply the `-p' option for this command
Почему-то оно обязательно хочет протокол, хотя по моему ламерскому
мнению id на то и id чтоб уникально идентифицировать запись в таблице.
Пробуем:
# conntrack -U conntrack -i 137 -m 0 -p tcp
conntrack v1.00beta2: Missing protocol arguments
И даже вот так не работает:
# conntrack -U conntrack -p tcp --orig-port-src 56875 --orig-port-dst 5555
NFNETLINK answers: Invalid argument
Operation failed: invalid parameters
В чём дело? Что я упускаю?
--
WBR,
Ivan S. Dubrov
Reply to: