Linux主机如何根据iptables、ip rule、ip route来转发数据包

最新推荐文章于 2023-05-24 15:33:07 发布
最新推荐文章于 2023-05-24 15:33:07 发布
阅读量719 收藏 5
点赞数 1
分类专栏: Linux应用 文章标签: Linux主机数据包转发 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35550345/article/details/98870393
版权

1- 引言

Linux主机在收到和发出数据包时以什么流程查看iptables和ip rule以及ip route进而正确处理数据包流向,这个问题一直让我有些困扰。经过最近的工作积累,写个小笔记。

2- 分析

在这里插入图片描述

根据上图和经验总结以下 :
一 Linux主机发出数据包的check流程为:
1)先检查ip rule和ip route,然后根据策略路由和静态路由将数据包引入iptables;
2)iptables check时,先查看raw:OUTPUT —— mangle:OUTPUT——nat:OUTPUT——filter:OUTPUT,最后看mangle:POSTROUTING——nat:POSTROUTING
二 Linux主机接收数据包的check流程为:
1)先看raw:PREROUTING——mangle:PREROUTING——nat:PREROUTING,然后根据iptables的conntrack或者nat来查看ip rule、ip route;
2)查看路由表之后发现是发给自己的之后会继续check mangle:INPUT——filter:INPUT,最后本机收到数据包;
3)如果查看路由表之后发现是发给别的主机的则会check mangle:FORWARD——filter:FORWARD,最后check出口策略,mangle:POSTROUTING——nat:POSTROUTING。

注意:

1)这个过程中如果匹配到了drop则停止接下来的流程,丢弃数据包;
2)raw表一般应用在那些不需要做nat的情况下,以提高性能。如大量访问的web服务器,可以让80端口不再让iptables做数据包的链接跟踪处理,以提高用户的访问速度。
3)mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。
4) nat表的主要功能是修改数据包中的源、目标IP地址或端口。
5) 如果mangle表中存在修改标志位的策略,则还需查看filter表和ip rule表中是否存在过滤操作。

鬼刺
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iproute2高级路由命令集
07-11
iproute2 是 Linux 操作系统中的一组路由命令,提供了丰富的路由管理功能。下面是 iproute2 高级路由命令集的知识点总结: 基本命令 * 显示链路:ip link list * 显示地址:ip address show * 显示路由:ip route ...
Linux系列—策略路由、ip ruleip route
热门推荐
此博客已停用,博文会逐渐转移到新地址,http://blog.csdn.net/liupeifeng3514
07-28 5万+
早期在管理Linux系统的网络时,常使用ifconfig及route之类的命令,不过如果你准备开始使用Linux强大的基于策略的路由机制,那么,就请不要使用这类工具了,因为这类工具根本无法用于功能强大的基于策略的路由机制,取而代之的工具是iproute。iproute这个软件在RedHat系列的Linux系统中是默认安装的,因此,你通常可以找到这个工具。如果真因为某些原因找不到这个软件,只要在使用F
ip ruleip route 学习 总结
明天你好
08-20 4085
ip ruleip route: 首先两者的区别: ip rule是管理 路由规则。ip route是管理路由表的 ip rule add to 114.114.114.114 table 10 :这行 表示凡是目的IP是114.114.114.144 就会进入路由表10 ip route add to 114.114.114.114via 192.168.188.2 tab...
Linux系统route、ip route、ip rule简介
zhongms专栏
08-25 1万+
一、相关概念 1. 路由(Routing) 路由是指设备从一个接口上收到数据包,根据数据包的目的地址进行定向并转发到另一个接口的过程。 2. 路由表(routing table) 所谓路由表,是指路由器或者其它互联网网络设备上存储的表,该表中存有到达特定网络终端的路径,在某些情况下,还有一些与这些路径相关的度量,表中包含的信息决定了数据转发的策略。路由表根据其建立的方法,可以分为动态路由表和静态路由表。 Linux 2.x以上,路由表由1~2^31范围内的数字或文件/etc/iproute2/rt
ip ruleip tables ,ip route 的过程
qq_46506007的博客
05-24 2336
ip ruleip tables ,ip route 的过程
iptables设置网关_如何在Linux上使用iptables和路由设置网关
cuma2369的博客
07-23 1512
iptables设置网关Sharing the networking is important and setting up a gateway is a good solution to it. Building up the gateway on a Linux box is easy, cost efficient and reliable. With a Linux box, you ca...
基于Linux IP策略路由的多路由分配技术.pdf
09-07
针对这一问题,Linux操作系统提供了一种解决方案——IP策略路由(Policy Routing),它允许更精细的控制网络流量,根据设定的规则来决定数据包应通过哪个出口转发IP策略路由的核心在于,它不依赖单纯的最长匹配...
Linux IP策略路由及其在校园网中的应用.pdf
09-06
Linux IP策略路由是一种高级的网络路由机制,它允许管理员根据数据包的特定属性(如来源地址、目标地址、协议类型等)定义不同的路由规则,从而实现更为精细化的流量控制。这种技术比传统的基于目的地的静态或动态...
基于域名路由策略.zip
07-17
路由策略是指路由器如何根据网络信息(如IP地址、子网掩码等)来决定数据包转发路径。在基于IP的路由策略中,系统会检查数据包的目的IP地址,并根据路由表中的规则来选择最佳路径。 基于域名的路由策略则是通过...
linux高级路由和流量控制.zip
11-29
5. 流量标记(Marking):使用`iptables`或`ipset`可以标记特定的流量,然后用`tc`根据这些标记实施QoS策略。 三、实际应用案例 1. 高可用性网络:通过路由策略,可以实现故障切换和负载均衡,提高网络的可靠性。 ...
iptables目标CHECKSUM
redwingz的博客
04-24 718
CHECKSUM目标帮助信息如下。 # iptables -j CHECKSUM -h CHECKSUM target options --checksum-fill Fill in packet checksum. 如下配置策略,对目标端口68的UDP报文,计算其校验和。 # iptables -A OUTPUT -t mangle -p udp --dport 68 -j CHECKSUM --checksum-fill # # sudo iptabl
iproute2路由配置(ip ruleip route、traceroute)
匠人精神,持之以恒!
07-10 8899
一、Iproute2简介 Iproute2是一个在Linux下的高级网络管理工具软件。实际上,它是通过rtnetlink sockets方式动态配置内核的一些小工具组成的,从Linux2.2内核开始,Alexey Kuznetsov 实现了通过rtnetlink sockets用来配置网络协议栈,它是一个现代的强大的接口。 centos安装iproute2命令: yum install -y iproute ip -V 二、iproute2常用命令 net-tools和iproute2的大致对比:
策略路由/路由表/ip rule/ ip route --全网最清晰解释
u011029104的专栏
04-12 3420
策略路由的由来: 最初,路由仅依据目的地址,采用最长匹配原则来决定下一跳。 后来 人们还希望通过其他项来选择下一跳, 比如源地址, 传输协议, 端口等。。因此策略路由应运而生。 根据不同的条件(源地址, 传输协议, 端口)选择路由表, 然后在路由表中根据目的地址选择下一跳。 策略路由样貌: 它是由三部分组层, part1:优先级,也就是上图中的0, 32766, 32767, 数字越小优先级越高。 新增路由策略的时候,如果不通过pref指定优先级会在找个除零以外最小的优先级。 ...
开启内核数据包转发功能
qq_50247813的博客
03-02 854
查看内核是否转发(0代表不转发,1代表转发
IPtables
zhiweiaixiaosang的专栏
11-16 780
​​​​​转载 Iptables教程 - 飞鸿影 - 博客园 Iptables教程 iptables是一个配置 Linux 内核 防火墙 的命令行工具。 初学者刚看到iptables,会感到很复杂,原因是 iptables 功能实在是太强大了。本文会从基本概念、使用上做介绍,读者看完后再去看 iptables 命令就能理解其含义了。 本文环境: PC: Ubuntu18 iptables操作均在docker上进行。docker上的系统为centos6.9。 更新时间:2020.6.2...
ip ruleip route,iptables 三者之间的关系
bob的博客
07-27 2632
以一例子来说明:公司内网要求192.168.0.100 以内的使用 10.0.0.1 网关上网 (电信),其他IP使用 20.0.0.1 (网通)上网。 首先要在网关服务器上添加一个默认路由,当然这个指向是绝大多数的IP的出口网关:ip route add default gw 20.0.0.1 之后通过 ip route 添加一个路由表:ip route add table 3 via 10.0.0.1 dev ethX (ethx 是 10.0.0.1 所在的网卡, 3 是路由表的编号) 之后添加 ip
iptables入门指南 --- iptables详解 ---iptbales 防火墙
weixin_30462049的博客
02-01 568
iptables 1、1 iptables防火墙简介 Netfileter/iptables (以下简称iptables)是nuix/linux 系统自带的优秀且完全免费的基于包过滤的防火墙工具、它的功能十分强大、使用非常灵活、可以对流入、流出及流经服务器的数据包进行精细的控制。特别是它可以在一台非常低配置下跑的非常好。提供400台机器的办公上网共享服务丝毫不逊色数万RMB企业级专业路由器...
iptables详解
wdt3385的专栏
12-25 4835
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
linux iptables开放ip
最新发布
09-09
要在Linux中使用iptables开放一个IP地址段,您可以使用以下命令: ```shell sudo iptables -A INPUT -s <起始IP地址>/<子网掩码长度> -j ACCEPT ``` 例如,如果要开放IP地址段为192.168.0.0/24,可以使用以下命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

鬼刺

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值