iptables mark 相关用法及使用举例

已于 2022-08-13 09:21:23 修改
阅读量2.6k 收藏 4
点赞数 1
分类专栏: kernel netfilter iptablels 文章标签: linux 网络协议
于 2022-08-13 09:18:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mudawei1/article/details/126304533
版权
kernel 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
netfilter
1 篇文章 0 订阅
订阅专栏
iptablels
1 篇文章 0 订阅
订阅专栏

iptables配置mangle规则:

  • 小写字母是匹配模块,大写字母是标记模块。
  • 带CONN的是标记链接,不带的是标记数据包。

参数含义

  • -t mangle                     代表表 table,就是mangle表
  • -A POSTROUTING     代表链chain,分别可以PREROUTING POSTROUTING FORWARD
  • -m                                代表匹配mark模块,m 即match匹配的意思
  • --mark value[/mask]    如果指定了 mask掩码,就先把mark值和掩码取逻辑与,然后再和skb的mark值比较
  • -j   标记
    • -j MARK     标记数据包 linux系统是skb->mark
    • --set-mark  标记数据包
  • -j CNNMARK      标记链接 nf_contract->mark
    • --set-mark           标记链接
    • --save-mark        保存数据包skb中的mark到链接nf_contract中mark上
    • --restore-mark     将链接中的MARK设置到同一链接的其它数据包中

1)skb打标记mark

  • iptables -t mangle -A POSTROUTING -m mark --mark 0/0x000000FF -j MARK --set-mark 0x00000010/0x00000000FF

在POSTROUTING链上mangle表中,所有报文低字节打上0x00000010mark。

2)contract打标记mark

  • iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --set-mark 0x00000010

在PREROUTING链上mangle表中,所有tcp链接低字节打上0x00000010 mark。

3)判断skb标记mark

  • iptables -t mangle -A POSTROUTING ! -m mark --mark 0x00000010/0x000000FF -j DROP

在POSTROUTING链上mangle表中,最低位字节如果不满足mark值,则drop掉

4)将skb的mark 复制到contract上的mark

  • iptables -t mangle -A POSTROUTING ! -m mark --mark 0/0x000000FF -j CONNMARK --save-mark

在POSTROUTING链上mangle表中,将skb的mark 复制到contract上的mark

  • iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

在PREROUTING链上mangle表中,所有tcp报文,报文mark为1的报文,保存到contract的mark上。

5)将contract上的mark 复制到skb的mark

  • iptables -t mangle -A POSTROUTING -m mark --mark 0/0x000000FF -j CONNMARK --restore-mark --ctmask 0x000000FF -nfmask 0x000000FF

6) 判断skb mark

  • iptables -t mangle -A POSTROUTING ! -m mark --mark 0/0xff000000 -j RETURN

数据包已经被mark上,直接返回

具体举例


# 数据包标记为0x60

  • iptables -t mangle -A PREROUTING -j MARK --set-mark 0x60


# 匹配标记为0x60的数据包,并保存数据包中的标记设置到链接中

  • iptables -t mangle -A PREROUTING -m mark --mark 0x60 -j CONNMARK --save-mark

# 链接标记为0x60

  • iptables -t mangle -A PREROUTING -j CONNMARK --set-mark 0x60


# 匹配链接标记为0x60数据包,并将链接中的标记设置到数据包中

  • iptables -t mangle -A PREROUTING -m connmark --mark 0x60 -j CONNMARK --restore-mark


一个现实应用
–restore-mark 与 --set-mark 和 --save-mark 进行配合,完成给链接打标记,进而为链接上的所有数据包打标记。

  1. iptables -A POSTROUTING -t mangle -j CONNMARK --restore-mark
  2. iptables -A POSTROUTING -t mangle -m mark ! --mark 0 -j ACCEPT
  3. iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp --dport 21 -j MARK --set-mark 1
  4. iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp --dport 80 -j MARK --set-mark 2
  5. iptables -A POSTROUTING -t mangle -m mark --mark 0 -p tcp -j MARK --set-mark 3 
  6. iptables -A POSTROUTING -t mangle -j CONNMARK --save-mark


规则1,完成了将链接跟踪上的标记记录到该连接上的每一个数据包中。
规则2,匹配数据包标记不为0的数据包,直接ACCEPT。如果为0,则交由后面的规则进行匹配并打标记。
如果一条链接的第1个数据包经过规则1后,由于ct->mark为0,所以其数据包标记skb->nfmark也为0,就需要进行后面规则的匹配。
规则3~5,按照匹配选项对符合规则的数据包打上不同的标记。--mark 0 表示数据包的mark此时是0,才做后续动作
规则6,将数据包上的标记记录到链接跟踪上。
当属于该链接的下一个数据包走到规则1后,就会被打上标记,命中第2条规则,直接ACCEPT。
 

kebi2009
关注
专栏目录
史上最全wireshark使用教程,8万字整理总结,建议先收藏再耐心研读
孙叫兽的博客
07-14 3万+
目录 第1章介绍... 1 1.1.什么是Wireshark. 1 1.1.1.主要应用... 1 1.1.2.特性... 1 1.1.3.捕捉多种网络接口... 2 1.1.4.支持多种其它程序捕捉的文件... 2 1.1.5.支持多格式输出... 2 1.1.6.对多种协议解码提供支持... 2 1.1.7.开源软件... 2 1.1.8.Wireshark不能做的事... 2 1.2.系通需求... 2 1.2.1.一般说明... 2 ...
iptables中的MARK用法
XFH1207的博客
11-03 7262
1. MARK作用 给特定的数据包打上标记,配合TC做【QOS流量限制】 或 【策略路由实现】。 2. MARK相关的模块 libxt_mark.so libxt_connmark.so libxt_MARK.so libxt_CONNMARK.so libxt_SECMARK.so libxt_CONNSECMARK.so 小写是匹配模块,大写是标记模块。 带CONN的是标记链接,不带的是标记数据包。 带SEC的是处理IPSEC数据,不带的是处理一般数据。 -m 匹配 -m mark --mark va
iptables MARK
weixin_43855786的博客
04-10 797
内核设置数据包nfmark值的流程分为两步:(1)首先,内核会先用mask预处理数据包原来的nfmark,处理方法是:如果mask的第N位(二进制)为1,那么将数据包的nfmark第的N位(二进制)设置为0 ,nfmark其他的位保持不变(2)接着,再用上面预处理后的nfmark和value做异或操作,得到数据包最后的nfmark值。,然后再与0做异或操作,而0与任何值做异或都是该值本身,所以nfmark的最终值就是经过invbits预处理之后的值,和。,很明显,实际的回复包与期望的回复包的源地址不一样。
一文详解iptables基础知识
最新发布
u011029104的专栏
07-26 681
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。
iptables数据包、连接标记模块MARK/CONNMARK使用(打标签)
angou6476的博客
02-05 998
MARK标记用于将特定的数据包打上标签,供iptables配合TC做QOS流量限制或应用策略路由。 看看和MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt_MARK.so libxt_connmark.so libxt_mark.so 其中大写的为标记模块,小写的为匹配模...
iptables 的各中mark
Wait for 的专栏
01-10 1万+
本文着重分析内核中CONNMARK的实现,同时还包括MARK的match和target模块的实现。因为CONNMARK模块通常是和MARK模块搭配使用的。关于iptables中如何使用这三个模块,参看本人的另外一篇文章《Netfilter CONNMARK用法及分析(一)-- iptables命令行的使用》。 本文欢迎自由转载,但请标明出处和本文链接,并保持本文的完整性。 CU: Go
iptables - 深入解析MARK和CONNMARK目标
to_be_better_wen的博客
01-14 3586
iptables MARK CONNMARK --restore-mark --save-mark
iptables中的mark
weixin_30659829的博客
10-09 625
在vtun配置的mangle链中有一条规则 -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff 下面分析mark何意。 mark值有何意义 mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了。比如,我们对一个流或从某台机子发出的所有的包设置了mark值,就可以利用高级...
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1344
Netfilter是什么? Netfilter是Linux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 Netfilter与Linux的关系 Netfilter与Linux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
UBuntu8.04使用IPTables
Dean Chen的专栏
09-16 3326
UBuntu8.04使用IPTables版本     iptabels --version 可以帮助查看版本号,当前版本为1.3.8原理    IPTables由若干个table组成。每个table都包含了若干个链,每个链都包含了一组规则列表,每条规则指定了对数据包的处理规则。[转自http://hi.baidu.com/%CA%AB%D5%
使用 mitmproxy + python 做拦截代理
墨鱼菜鸡
07-11 3719
From:https://blog.wolfogre.com/posts/usage-of-mitmproxy https://www.cnblogs.com/H4ck3R-XiX/p/12624072.htmlhttp://www.cnblogs.com/grandlulu/p/9525417.html mitmProxy 介绍:https:/...
网络攻防中渗透测试常用的流量代理链以及防溯源链路的设计与实现,主要通过 redsocks+iptables+glider+clash 实现流量透传和节点流量转发,实现多跳流量转发加密
代码讲故事
08-16 487
网络攻防中渗透测试常用的流量代理链以及防溯源链路的设计与实现,主要通过 redsocks+iptables+glider+clash 实现流量透传和节点流量转发,实现多跳流量转发加密。
4-iptables mark标记
Creator_Ly的博客
05-06 3857
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 下面介绍iptables mark简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以...
iptable mark功能
oujiangping的博客
08-08 2688
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。下面介绍iptables简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不
IPTABLES
愤怒de老鸟的专栏
07-08 661
iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 简介 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 L
Iptables 详解
静静是我女朋友
11-29 1714
1:Iptables - Layer7 iptables默认是OSI三层和四层以及二层源MAC地址过滤 针对于某一个应用:xunlei,kugou,qq,msn,flv,p2p,httpd,smtp等等过滤,直接针对协议来过滤 Netfilter默认是没有这些功能的,如果我们需要使用到7层的,应用协议过滤,那么我们就必须对netfilter打补丁 Netfilter
Linux防火墙iptablesmark模块分析及编写
weixin_33912453的博客
09-15 641
linux系统中为了更好的实现网络流量的管理,使用了内核的mark来标识网络流量。这样造成了用户层再使用mark来标记多线负载,两种mark会互相覆盖,达不到想要的结果。在此种情况下,通过研究发现可以扩展mark模块来解决这种冲突。   1 Iptables的结构和命令格式分析   1.1 Iptables的结构分析   Iptableslinux系统为用户提供的一个配置防火墙的工具。它提供一...
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
iptables -j MARK --set-xmark 解析
云原生,DevOps,Kubernetes
04-16 4327
查看man和命令帮助,还有网上搜到的解释不是很清晰,所以验证了一下,并尽量将其解释的通俗易懂。 MARK的作用 MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。 格式 --set-xmark value[/mask] 操作结果: ctmark = (ctmark AND NOT mask) XOR value 重点(解释) 就是先将 ctmark(原包)中的那些 mask标志出来的位清零(mask值为1的位,当然这里是转换为二进制后的位),然后再与给.
iptables使用举例
09-03
当然,我可以给您提供一些iptables使用举例iptables是一个常用的Linux防火墙工具,可以对网络流量进行过滤和管理。 1. 允许特定IP地址访问某个端口: ``` sudo iptables -A INPUT -p tcp -s 192.168.1.100 --...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值