iptables -j MARK --set-xmark 解析

已于 2022-04-16 09:50:42 修改
阅读量4.4k 收藏 6
点赞数 1
分类专栏: kubernetes 文章标签: kubernetes iptables
于 2022-04-16 09:42:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31977125/article/details/124208384
版权

查看man和命令帮助,还有网上搜到的解释不是很清晰,所以验证了一下,并尽量将其解释的通俗易懂。

MARK的作用
MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。
这里只说 --set-xmark

格式

--set-xmark value[/mask]

操作结果:
ctmark = (ctmark AND NOT mask) XOR value

重点(解释)
就是先将 ctmark(原包)中的那些 mask标志出来的位设置为零(mask值为1的位,当然这里是转换为二进制后的位),然后再与给的value做异或运算(1 XOR 1 = 0; 0 XOR 0 = 0, 1 XOR 0 = 1)。注意,这里的设置为零和异或操作都与原来ctmark中的mask没关系。

举例

以下可以通过iptables命令验证,加 log可以显示出MARK值
# 初始 set-xmark  0x1f/0x10 (对应二进制:11111/10000)
 -j MARK --set-xmark 0x1f/0x10
# 之后 set-xmark 0x10/0x8 (对应二进制:10000/1000)
 -j MARK --set-xmark 0x10/0x8

1. 根据上边描述的计算规则,首先将ctmark(11111)中mask(1000)标志出来的位设置为0(即正数第2位,倒数第4位),结果为10111。
2. 再用10111与value(10000)做异或。根据异或规则两个位相同结果为0,不同则结果为1。计算结果为111(2进制),也就是计算后ctmark为0x7(16进制)

再来看一个例子
# 初始 --set-xmark 0x4000/0x4000 (这里就不转2进制了)
# 之后 --set-xmark 0x4000/0x0
先看掩码0x0,等于没有。所以第一步计算完还是0x4000
第二步,0x4000与0x4000异或,两个值所有位都相等。所以异或完的结果是全0,全0就代表没有mark。
所以 --set-xmark 0x4000/0x0这个配置相当于把第一步设置的ctmark  (0x4000/0x4000)清除了。

man文档:
https://ipset.netfilter.org/iptables-extensions.man.html

MARK
This target is used to set the Netfilter mark value associated with the packet. It can, for example, be used in conjunction with routing based on fwmark (needs iproute2). If you plan on doing so, note that the mark needs to be set in the PREROUTING chain of the mangle table to affect routing. The mark field is 32 bits wide.
--set-xmark value[/mask]
	Zeroes out the bits given by mask and XORs value into the packet mark ("nfmark"). If mask is omitted, 0xFFFFFFFF is assumed.
--set-mark value[/mask]
	Zeroes out the bits given by mask and ORs value into the packet mark. If mask is omitted, 0xFFFFFFFF is assumed.

The following mnemonics are available:
--and-mark bits
	Binary AND the nfmark with bits. (Mnemonic for --set-xmark 0/invbits, where invbits is the binary negation of bits.)
--or-mark bits
	Binary OR the nfmark with bits. (Mnemonic for --set-xmark bits/bits.)
--xor-mark bits
	Binary XOR the nfmark with bits. (Mnemonic for --set-xmark bits/0.)

命令帮助

# iptables -j MARK --help
......
MARK target options:
  --set-xmark value[/mask]  Clear bits in mask and XOR value into nfmark
  --set-mark value[/mask]   Clear bits in mask and OR value into nfmark
  --and-mark bits           Binary AND the nfmark with bits
  --or-mark bits            Binary OR the nfmark with bits
  --xor-mask bits           Binary XOR the nfmark with bits
Chai Yingchao
关注
专栏目录
Kube-proxy 使用 iptables 模式时,通过 Service 服务发布入口如何到达 Pod ?
山河已无恙
04-09 626
被问到这个问题,整理相关的笔记当 kube-proxy 模式设置为 iptables 的时候,通过 SVC 服务发布入口如何到达 Pod?博文内容涉及:问题简单介绍三种常用的服务发布方式到Pod报文路径解析当前集群为版本为v1.25.1Demo 演示使用了ansible理解不足小伙伴帮忙指正食用需要了解iptables生命的火花不是目标,而是对生活的热情。——《心灵奇旅》
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
iptables MARK
weixin_43855786的博客
04-10 816
内核设置数据包nfmark值的流程分为两步:(1)首先,内核会先用mask预处理数据包原来的nfmark,处理方法是:如果mask的第N位(二进制)为1,那么将数据包的nfmark第的N位(二进制)设置为0 ,nfmark其他的位保持不变(2)接着,再用上面预处理后的nfmark和value做异或操作,得到数据包最后的nfmark值。,然后再与0做异或操作,而0与任何值做异或都是该值本身,所以nfmark的最终值就是经过invbits预处理之后的值,和。,很明显,实际的回复包与期望的回复包的源地址不一样。
IPTABLES MARK 多值复用 - 解决QOS和策略路由兼容问题
最新发布
钱国正的专栏
08-23 211
对进入路由器的系统,打mark可以让其走指定的路由表出去,但是,如果这个时候需要对数据报文进行分类,就需要对其打mark了,那么两个mark怎么共存呢?
iptables中的MARK用法
XFH1207的博客
11-03 7345
1. MARK作用 给特定的数据包打上标记,配合TC做【QOS流量限制】 或 【策略路由实现】。 2. MARK相关的模块 libxt_mark.so libxt_connmark.so libxt_MARK.so libxt_CONNMARK.so libxt_SECMARK.so libxt_CONNSECMARK.so 小写是匹配模块,大写是标记模块。 带CONN的是标记链接,不带的是标记数据包。 带SEC的是处理IPSEC数据,不带的是处理一般数据。 -m 匹配 -m mark --mark va
iptable mark功能
oujiangping的博客
08-08 2704
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。下面介绍iptables简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不
Linux防火墙iptablesmark模块分析及编写
weixin_33912453的博客
09-15 648
在linux系统中为了更好的实现网络流量的管理,使用了内核的mark来标识网络流量。这样造成了用户层再使用mark来标记多线负载,两种mark会互相覆盖,达不到想要的结果。在此种情况下,通过研究发现可以扩展mark模块来解决这种冲突。   1 Iptables的结构和命令格式分析   1.1 Iptables的结构分析   Iptables是linux系统为用户提供的一个配置防火墙的工具。它提供一...
iptables中的mark
weixin_30659829的博客
10-09 639
在vtun配置的mangle链中有一条规则 -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff 下面分析mark何意。 mark值有何意义 mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了。比如,我们对一个流或从某台机子发出的所有的包设置了mark值,就可以利用高级...
一次对K8S集群service的“非主流”访问方式引发的网络探究
EdwardSoftWare的博客
01-05 473
一次对K8S集群service的“非主流”访问方式引发的网络探究 目录一次对K8S集群service的“非主流”访问方式引发的网络探究(一)“颇有个性”的需求(二)方法总比困难多?(三)实践出“问题”(四)三个为什么? (一)“颇有个性”的需求 某日,我们接到了客户的求助。客户在云上环境使用了托管K8S集群产品部署测试集群。因业务需要,研发同事需要在办公网环境能直接访问K8S集群的clueterIP类型的service和后端的pod。通常K8S的pod只能在集群内通过其他pod或者集群node访问,不能直接
k8s实践4:kube-proxy问题iptables转发规则不显示
weixin_34378767的博客
03-12 1556
1.今天想看看kube-proxy的iptables转发规则,执行命令iptables-save,见下: [root@k8s-master1 test]# iptables-save |grep "^-A KUBE" -A KUBE-FIREWALL -m comment --comment "kubernetes firewall for dropping marked packets" -m ...
[openwrt-21.02]mt7981开启mwan3功能ping出现unreachable 问题分析及解决方案
wgl307293845的博客
07-15 167
提供以下功能和能力基于数值权重分配的出站 WAN 流量负载均衡或使用多个 WAN 接口进行故障转移使用重复测试监控每个 WAN 连接,如果第一个 WAN 接口失去连接,则可以自动将出站流量路由到另一个 WAN 接口创建出站流量规则以自定义哪些出站连接应使用哪个 WAN 接口(基于策略的路由)。这可以根据源 IP、目标 IP、源端口、目标端口、IP 协议类型等进行定制支持物理和/或逻辑 WAN 接口可以在 globals 部分中配置用于标记传出流量的防火墙掩码(默认)。
iptables数据包、连接标记模块MARK/CONNMARK使用
张同光 (Tongguang Zhang):Hello everyone !
03-31 3560
iptables数据包、连接标记模块MARK/CONNMARK使用
iptables - 深入解析MARK和CONNMARK目标
to_be_better_wen的博客
01-14 3749
iptables MARK CONNMARK --restore-mark --save-mark
iptables mark 相关用法及使用举例
mudawei1的博客
08-13 2700
iptables mark使用方法,涉及到QOS ,rule route
linux查询路由表local、路由表main、路由表default
chenliang0224的专栏
12-27 7224
转发:https://blog.csdn.net/u011068702/article/details/53899537   在 Linux 系统启动时,内核会为路由策略数据库配置三条缺省的规则:  0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。   32766 ...
iptables 的各中mark
Wait for 的专栏
01-10 1万+
本文着重分析内核中CONNMARK的实现,同时还包括MARK的match和target模块的实现。因为CONNMARK模块通常是和MARK模块搭配使用的。关于iptables中如何使用这三个模块,参看本人的另外一篇文章《Netfilter CONNMARK用法及分析(一)-- iptables命令行的使用》。 本文欢迎自由转载,但请标明出处和本文链接,并保持本文的完整性。 CU: Go
Android iptables命令详解
Jimmy的专栏
07-25 2664
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则Iptables有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。......
中drop用法_强大的 iptables 在 K8s 中的应用剖析
weixin_30062621的博客
01-09 1282
来源:https://www.cnblogs.com/charlieroronode 节点的 iptables 是由 kube-proxy 生成的,具体实现可以参见kube-proxy 的代码(http://dwz.date/cqfm)kube-proxy 只修改了 filter 和 nat 表,它对 iptables 的链进行了扩充,自定义了KUBE-SERVICES,KUBE-NO...
iptables -j
10-20
iptables是一个Linux内核中的防火墙工具,它可以监控、过滤和重定向网络流量。其中,-j参数用于指定要执行的动作,常见的动作包括ACCEPT(接受)、DROP(丢弃)和REJECT(拒绝)。当iptables匹配到规则后,就会执行指定的动作。例如,引用中的规则表示接受来自本地回环地址127.0.0.1的数据包,并执行ACCEPT动作。 另外,iptables还支持其他参数和选项,例如-R参数用于替换规则,-s参数用于指定源IP地址,-d参数用于指定目标IP地址,-p参数用于指定协议类型,--dport参数用于指定目标端口号,-m参数用于指定匹配模块等等。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值