iptables的CONNMARK与MARK

最新推荐文章于 2023-01-15 12:04:04 发布
最新推荐文章于 2023-01-15 12:04:04 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Network

iptables的CONNMARK与MAR

iptables的CONNMARK与MARK是用于给数据连接和数据包打标记的两个target。一直没搞明白二者的区别。直到昨天花了不少时间解决openwrt下多路合并时工行网银登录问题,才大致弄清这两个target的用法。

两者的区别在于,同样是打标记,但CONNMARK是针对连接的,而MARK是针对单一数据包的。

这么说大家肯定还是不明白。但回想一下,这两种机制一般都要和ip rule中的fwmark联用,实现对满足某一类条件的数据包的策略路由。所以问题的关键在于两点:

1. 对连接打了标记,只是标记了连接,没有标记连接中的每个数据包。标记单个数据包,也不会对整条连接的标记有影响。二者是相对独立的。

2. 路由判定(routing decision)是以单一数据包为单位的。或者说,在netfilter框架之外,并没有连接标记的概念。或者说,ip命令只知道MARK, 而不知道CONNMARK是什么。

所以写相关的iptables规则,关键在于:给所有要进行ip rule匹配的单一数据包打上标记。方法一般有二:用MARK直接打,或者用CONNMARK –restore-mark把打在连接上的标记转移到数据包上。

理解了这些,要解决相关的问题就心里有数了。就比如网银登录的问题吧,在使用openwrt多拨时登录工行网银时,由于使用了多个IP,服务器检测到所认为有安全问题,就会阻止用户登录。解决思路是,由于网银用https协议,对相应的443端口做一些处理。让所有目的端口为443的outgoing包只走一条线路就行了。到iptables规则中,就是对这些包只打一种标记咯。假设打0×01吧。相应的规则像下面这样写:

<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 第一个outgoing的包(tcp SYN),打上标记</em></span>
iptables <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-t</span> mangle <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-A</span> PREROUTING <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-p</span> tcp <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--dport</span> <span style="font-family:inherit;color:#000000;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">443</span> <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-m</span> conntrack <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--ctstate</span> NEW \
<span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-j</span> MARK <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--set-mark</span> 0x01
 
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># routing decision时,会选择与0x01标记对应的那条路由。</em></span>
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 然后,我们把这个包上的标记(0x01)转存到与之对应的连接上。--save-mark功能就在于此。</em></span>
iptables <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-t</span> mangle <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-A</span> POSTROUTING <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-m</span> conntrack <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--ctstate</span> NEW <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-j</span> CONNMARK <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--save-mark</span>
 
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 这条连接后续的包,都用--restore-mark命令,把连接上的标记(上一条命令保存的)</em></span>
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 再打到每个单一数据包上。</em></span>
iptables <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-t</span> mangle <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-A</span> PREROUTING <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-i</span> br-lan <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-m</span> conntrack <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--ctstate</span> ESTABLISHED,RELATED \
<span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">-j</span> CONNMARK <span style="font-family:inherit;color:#66033;border:0px; font-style:inherit; margin:0px; outline:0px; padding:0px; vertical-align:baseline;">--restore-mark</span>
 
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 至此,所有(目的端口为443的outgoing包)对应连接上的每一个数据包都打上了0x01标记,</em></span>
<span style="font-family:inherit;color:#666666;border:0px; margin:0px; outline:0px; padding:0px; vertical-align:baseline;"><em># 可以被正确地路由。</em></span>
This entry was posted in  iptablesLinux by  morfast. Bookmark the  permalink.

2 THOUGHTS ON “IPTABLES的CONNMARK与MARK


dayancn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables手册与示例
01-09
iptables设置防火墙非常好的资料。
iptables - 深入解析MARKCONNMARK目标
to_be_better_wen的博客
01-14 2614
iptables MARK CONNMARK --restore-mark --save-mark
iptables - MARKCONNMARK的使用案例
to_be_better_wen的博客
01-15 1141
iptables MARKCONNMARK使用案例
ebtables官方文档翻译
扎实基础方能走远
08-01 981
官方文档:http://ebtables.netfilter.org/misc/ebtables-man.html 非权威翻译,大家辩证查阅。 描述: ebtables是一个创建和维护内核 嗅探Ethernet frame规则表格的应用程序,它类似iptables,但是没有它复杂,因为Ethernet协议相比ip协议更简单一点 CHAINS Linux内核内置了三种ebtables 表。这些表用来区分不同的功能规则,每一种规则的集合就叫做一个chain,每一个chain都是一个用来匹配Ethern
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
iptables原理与实战.pptx
03-05
介绍了iptables的原理与使用方式,希望对大家有用。iptables是一个用来对包过滤规则进行管理的用户态程序; iptables最初由Rusty Russell开发,于1998年发布第一个版本; 基于netfilter框架实现,本质上是linux...
iptables 与firewalld 防火墙.docx
07-07
iptables 与firewalld 防火墙配置使用方法,具体的区别,过滤不合法的流,centos7中配置
iptables做策略屏蔽QQ与MSN
09-15
QQ服务器端口为:8000;客户端端口为:4000(开启第二个QQ时为4001,依次类推);均为UDP.MSN端口数较多:1863为登陆所需要的端口以及3000-4000等等
iptables的处理动作的一些 -j
BUG_MeDe的博客
07-07 855
关于iptables的一些动作处理
iptables mark 相关用法及使用举例
mudawei1的博客
08-13 2363
iptables mark使用方法,涉及到QOS ,rule route
openwrt 使用ebtables限制设备访问外网或内网
weixin_44053794的博客
03-28 9653
基于ebtables和mac地址的访问控制
Linux-ebtables-以太网网桥防火墙
weixin_40342459的博客
10-07 6019
ebtables 和 iptables 一样,主要是做数据包过滤的配置工具, ebtables 主要工作在数据链路层, iptables主要工作IP层和第四层应用层,他们主要做配置工具,底层的数据包过滤机制还是在 netfilter 核心工作组 和iptables 一样, ebtables 也有表,链和动作的概念 ebtables 有三张表,五条链和四个动作,支持自...
EBTABLES 命令行
funtasty的专栏
12-01 1313
Content-type: text/html EBTABLES Section: Maintenance Commands (8) Updated: May 2007 Index Return to Main Contents   NAME ebtables (v2.0.8-1) - Ethernet bridge frame table administration
访客wifi隔离实现
酷小川的博客
11-15 3513
一、内容介绍 限制访客wifi访问路由器设置页面。 二、解决思路 利用iptables和ebtables对相关的端口进行过滤。 三、iptables与ebtables框架 四、所遇问题 一、开始没有把上图理解清楚,在ebtables的output中加过滤规则,这样会导致经过iptables中的forward的数据也会被限制,影响访客用户正常上网。 解决方法:规则在iptables中加入。 二、在iptables中加入规则时遇到一个新问题,需要对wifi的接口进行限制,但iptables中数据都是在br0中
4-iptables mark标记
Creator_Ly的博客
05-06 3470
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 下面介绍iptables mark简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以...
iptables--表/命令/选项/匹配/目标
香蕉一号
07-04 2039
iptables--规则1.基本语法2.表3.命令4.选项5.匹配5.1 通用匹配5.2 隐含匹配5.2.1 TCP匹配5.2.2 UDP匹配5.2.3 ICMP匹配5.3 显式匹配5.3.1 Limit匹配 1.基本语法 基本语法如下: iptables [-t table ] command [match] [target/jump] 对于这个句法没什么可说的,但注意 target 指令必须在最后。为了易读,我们一般用这种语法。总之,你将见到的大部分规则都是按这种语法写的。在[table]处指定表名。
ebtales 讲解
paoyingdapan的博客
04-26 906
最近学习了linux下的ebtales和高级路由策略的使用,今天先讲ebtale的使用一、基本概念表:nat filter broute,其中nat是默认表链: PREROUTE INPUT FORWARD OUTPUT POSTROUTE规则:匹配条件+动作二、配置命令ebtables -t :指明是什么表              -D:删除一条规则              -A: 添加一条...
iptables CONNMARK
最新发布
09-22
iptables -t mangle -A POSTROUTING -m connmark --mark 1 -j CONNMARK --save-mark # 从packet mark字段中恢复连接标记 iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j CONNMARK --restore-mark # 将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值