iptables中的MARK用法

最新推荐文章于 2023-04-10 09:44:46 发布
最新推荐文章于 2023-04-10 09:44:46 发布
阅读量7.4k 收藏 25
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XFH1207/article/details/109469775
版权
1. MARK作用

给特定的数据包打上标记,配合TC做【QOS流量限制】 或 【策略路由实现】。

2. MARK相关的模块
libxt_mark.so
libxt_connmark.so
libxt_MARK.so
libxt_CONNMARK.so
libxt_SECMARK.so
libxt_CONNSECMARK.so

小写是匹配模块,大写是标记模块。
带CONN的是标记链接,不带的是标记数据包。
带SEC的是处理IPSEC数据,不带的是处理一般数据。

-m 匹配
-m mark --mark value[/mask]
如果指定了掩码,就先把mark值和掩码取逻辑与,然后再和包的mark值比较。
-j 标记
-j MARK 标记数据包
--set-mark #标记数据包

-j CNNMARK 标记链接
--set-mark #标记链接
--save-mark #保存数据包中的MARK到链接中
--restore-mark #将链接中的MARK设置到同一链接的其它数据包中
示例
# 数据包标记为50
iptables -t mangle -A PREROUTING -j MARK --set-mark 50
# 匹配标记为50的数据包,并保存数据包中的标记设置到链接中
iptables -t mangle -A PREROUTING -m mark --mark 50 -j CONNMARK --save-mark

# 链接标记为50
iptables -t mangle -A PREROUTING -j CONNMARK --set-mark 50
# 匹配链接标记为50数据包,并将链接中的标记设置到数据包中
iptables -t mangle -A PREROUTING -m connmark --mark 50 -j CONNMARK --restore-mark
3. 应用

–restore-mark 与 --set-mark 和 --save-mark 进行配合,完成给链接打标记,进而为链接上的所有数据包打标记。

iptables -A POSTROUTING -t mangle -j CONNMARK --restore-mark
iptables -A POSTROUTING -t mangle -m mark ! --mark 0 -j ACCEPT
iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp --dport 21 -j MARK --set-mark 1
iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp --dport 80 -j MARK --set-mark 2
iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp -j MARK --set-mark 3 
iptables -A POSTROUTING -t mangle -j CONNMARK --save-mark
  1. 规则1,完成了将链接跟踪上的标记记录到该连接上的每一个数据包中。
  2. 规则2,匹配数据包标记不为0的数据包,直接ACCEPT。如果为0,则交由后面的规则进行匹配并打标记。
    如果一条链接的第1个数据包经过规则1后,由于ct->mark为0,所以其数据包标记skb->nfmark也为0,就需要进行后面规则的匹配。
  3. 规则3~5,按照匹配选项对符合规则的数据包打上不同的标记。
  4. 规则6,将数据包上的标记记录到链接跟踪上。
    当属于该链接的下一个数据包走到规则1后,就会被打上标记,命中第2条规则,直接ACCEPT。
ForkForYou
关注
专栏目录
IPTABLES MARK 多值复用 - 解决QOS和策略路由兼容问题
钱国正的专栏
08-23 240
对进入路由器的系统,打mark可以让其走指定的路由表出去,但是,如果这个时候需要对数据报文进行分类,就需要对其打mark了,那么两个mark怎么共存呢?
iptable mark功能
oujiangping的博客
08-08 2717
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。下面介绍iptables简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
iptables MARK
weixin_43855786的博客
04-10 832
内核设置数据包nfmark值的流程分为两步:(1)首先,内核会先用mask预处理数据包原来的nfmark,处理方法是:如果mask的第N位(二进制)为1,那么将数据包的nfmark第的N位(二进制)设置为0 ,nfmark其他的位保持不变(2)接着,再用上面预处理后的nfmark和value做异或操作,得到数据包最后的nfmark值。,然后再与0做异或操作,而0与任何值做异或都是该值本身,所以nfmark的最终值就是经过invbits预处理之后的值,和。,很明显,实际的回复包与期望的回复包的源地址不一样。
iptables - 深入解析MARK和CONNMARK目标
to_be_better_wen的博客
01-14 3931
iptables MARK CONNMARK --restore-mark --save-mark
iptables 的各mark
Wait for 的专栏
01-10 1万+
本文着重分析内核CONNMARK的实现,同时还包括MARK的match和target模块的实现。因为CONNMARK模块通常是和MARK模块搭配使用的。关于iptables如何使用这三个模块,参看本人的另外一篇文章《Netfilter CONNMARK用法及分析(一)-- iptables命令行的使用》。 本文欢迎自由转载,但请标明出处和本文链接,并保持本文的完整性。 CU: Go
iptablesmark
weixin_30659829的博客
10-09 650
在vtun配置的mangle链有一条规则 -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff 下面分析mark何意。 mark值有何意义 mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了。比如,我们对一个流或从某台机子发出的所有的包设置了mark值,就可以利用高级...
4-iptables mark标记
Creator_Ly的博客
05-06 4004
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 下面介绍iptables mark简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以...
iptables Mark查询
最新发布
07-27
- *2* [iptablesMARK用法](https://blog.csdn.net/XFH1207/article/details/109469775)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc...
iptables 1.1文指南
10-11
### iptables 1.1文指南知识点概览 #### 一、iptables简介...以上是对 `iptables 1.1文指南` 的主要内容和知识点的详细解析,希望能帮助读者更好地理解和掌握iptables的使用方法及其在网络安全管理的重要作用。
iptables
xiaogaoxiaoyuan的博客
01-14 1126
防火墙详解 什么是防火墙? 在计算,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
Iptables使用方法
sxy2475的博客
10-20 2252
Iptables使用方法 Iptables使用方法 Iptables的组成 四张表 五个链 添加规则的要点 Iptables的使用 对表进行的操作 对链进行的操作 对规则进行的操作 匹配条件 基本匹配 扩展匹配 处理动作 保存规则的方法Iptables的组成 iptables由四个表和五个链以及一些规则组成 四张表四张表及其功能简介 表名 功能 filter表 过滤规则表,根据预定
iptables防火墙
Another_Feng的博客
03-24 1012
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
iptables mark 相关用法及使用举例
mudawei1的博客
08-13 2734
iptables mark使用方法,涉及到QOS ,rule route
iptables -j MARK --set-xmark 解析
云原生,DevOps,Kubernetes
04-16 4496
查看man和命令帮助,还有网上搜到的解释不是很清晰,所以验证了一下,并尽量将其解释的通俗易懂。 MARK的作用 MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。 格式 --set-xmark value[/mask] 操作结果: ctmark = (ctmark AND NOT mask) XOR value 重点(解释) 就是先将 ctmark(原包)的那些 mask标志出来的位清零(mask值为1的位,当然这里是转换为二进制后的位),然后再与给.
IPTABLES
愤怒de老鸟的专栏
07-08 688
iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 简介 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表,而这些表集成在 L
iptables 的一些-m模块
BUG_MeDe的博客
07-07 2726
iptables一些简单的模块
Iptables 详解
静静是我女朋友
11-29 1725
1:Iptables - Layer7 iptables默认是OSI三层和四层以及二层源MAC地址过滤 针对于某一个应用:xunlei,kugou,qq,msn,flv,p2p,httpd,smtp等等过滤,直接针对协议来过滤 Netfilter默认是没有这些功能的,如果我们需要使用到7层的,应用协议过滤,那么我们就必须对netfilter打补丁 Netfilter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值