ip rule ,ip tables ,ip route 的过程

最新推荐文章于 2023-06-26 15:01:52 发布
最新推荐文章于 2023-06-26 15:01:52 发布
阅读量2.3k 收藏 9
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46506007/article/details/130847578
版权

 

ip tables 和 ip route 是两个不同的工具,它们在不同的阶段执行不同的功能。ip route 是用来管理和控制路由表的,它决定了数据包应该从哪个网卡或网关发送出去。ip tables 是用来配置、管理和控制网络数据包的过滤、转发和转换的,它根据用户定义的规则对数据包进行检查、修改或丢弃。

一般来说,ip route 先于 ip tables 执行,因为路由表是在内核中最先处理数据包的部分。当内核收到一个数据包时,它会先查看路由表,找到合适的出口网卡或网关,然后将数据包发送出去。在发送之前,内核会根据 ip tables 中的规则对数据包进行过滤、转发或转换。例如,内核可能会根据 NAT 规则更改数据包中的源地址或目标地址,或者根据 filter 规则接受或丢弃数据包。

当然,这只是一个简化的描述,实际上 ip tables 和 ip route 之间还有一些交互和顺序的细节。例如,ip tables 中有一些链可以在路由之前或之后对数据包进行处理,如 prerouting 和 postrouting 链。如果你想了解更多关于 ip tables 和 ip route 的工作原理和执行顺序,你可以参考以下链接:

问:哪ip route 有在ip tables 之后执行的吗? 

一般来说,ip route 是在 ip tables 之前执行的,因为路由表是在内核中最先处理数据包的部分。但是,有一种情况下,ip route 可能会在 ip tables 之后执行,那就是当 ip tables 中有一条规则使用了 MARK 目标时。

MARK 目标是一种特殊的目标,它可以给数据包打上一个标记,这个标记可以被路由策略或其他 iptables 规则所识别。当内核在 iptables 中遇到一个 MARK 目标时,它会将数据包的标记字段设置为指定的值,然后将数据包重新送回路由表进行第二次路由。这样,就可以根据数据包的标记来选择不同的路由策略或出口网卡。

例如,假设我们有两个网卡 eth0 和 eth1,分别连接到两个不同的网络。我们想让所有来自 192.168.1.0/24 网络的数据包都走 eth0 网卡,而其他数据包都走 eth1 网卡。我们可以使用以下命令来实现这个需求:

创建一个名为 mark 的自定义链

iptables -t mangle -N mark

在 PREROUTING 链中跳转到 mark 链

iptables -t mangle -A PREROUTING -j mark

在 mark 链中给来自 192.168.1.0/24 的数据包打上 1 的标记

iptables -t mangle -A mark -s 192.168.1.0/24 -j MARK --set-mark 1

在 mark 链中给其他数据包打上 2 的标记

iptables -t mangle -A mark -j MARK --set-mark 2

创建两个路由表 table1 和 table2

echo “201 table1” >> /etc/iproute2/rt_tables echo “202 table2” >> /etc/iproute2/rt_tables

在 table1 中添加默认路由为 eth0

ip route add default dev eth0 table table1

在 table2 中添加默认路由为 eth1

ip route add default dev eth1 table table2

添加两条路由策略,根据标记选择路由表

ip rule add fwmark 1 table table1 ip rule add fwmark 2 table table2

这样,当内核收到一个数据包时,它会先查看路由表,找到合适的出口网卡或网关,然后将数据包发送到 iptables 的 mangle 表的 PREROUTING 链。在这里,内核会根据数据包的源地址给它打上一个标记,然后将数据包重新送回路由表进行第二次路由。这次,内核会根据数据包的标记选择不同的路由策略和出口网卡,从而实现了按源地址分流的效果。

如果你想了解更多关于 MARK 目标和路由策略的知识,你可以参考以下链接:

那ip rule ,ip tables ,ip route 的顺序是什么呢? 讲讲过程 

 

ip rule,ip tables,ip route 的顺序是这样的:

  • 当内核收到一个数据包时,它会先查看 ip rule 中的路由策略,根据数据包的特征(如源地址、目标地址、标记等)选择一个路由表。
  • 然后,内核会在选定的路由表中查找匹配的路由条目,根据数据包的目标地址选择一个出口网卡或网关。
  • 接着,内核会将数据包发送到 iptables 的 mangle 表和 nat 表的 prerouting 链,根据用户定义的规则对数据包进行修改或转换(如更改 IP 头、执行 DNAT 等)。
  • 然后,内核会根据修改后的数据包重新查看 ip rule 和 ip route,选择一个新的出口网卡或网关。
  • 接着,内核会将数据包发送到 iptables 的 filter 表的 forward 链,根据用户定义的规则对数据包进行过滤或转发(如接受、丢弃、拒绝等)。
  • 然后,内核会将数据包发送到 iptables 的 mangle 表和 nat 表的 postrouting 链,根据用户定义的规则对数据包进行修改或转换(如更改源地址、执行 SNAT 等)。
  • 最后,内核会将数据包发送出去。

这是一个简化的描述,实际上 iptables 和 ip rule 之间还有一些交互和顺序的细节。如果你想了解更多关于 iptables 和 ip rule 的工作原理和执行顺序,你可以参考以下链接:

叠叠乐
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ip rule 路由策略
弘毅_hao的博客
05-18 1409
策略路由
根据此网址总结ip ruleip route的区别
yudelian的博客
05-05 1378
https://blog.csdn.net/u012758088/article/details/76255543
策略路由指令:ip ruleip route
lailaiquququ11的博客
08-19 1789
主要内容摘自博客,其中加入一些自己的整理 https://blog.csdn.net/u012758088/article/details/76255543/ https://www.cnblogs.com/baiduboy/p/7278715.html https://blog.csdn.net/vevenlcf/article/details/48026965 ip 的命令是linux 网络中用到很广泛的,他是iproute2套件中的一个,里面还涵盖有很多的网络相关的指令,简单的了解,可以参考到
route,iptables及一些相关知识(整理),iptables命令解释
Fiverya的博客
11-07 3691
从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分...
静态路由和ip'tables
juw520007的博客
04-05 686
把linux配置成路由器 复习: 改主机名 1 hostnamectl set-hostname network01 2 bash 生效 重启网络服务 systemctl restart network ip addr 由于配置的静态路由就是相当于网关的一种,所以在配置网卡时,要记得删除网关,DNS。 数据在传输的过程中随着数据的传送 物理地址一直改变,但是源IP和目标Ip不变 配...
ip route 路由命令详解
sun007700的专栏
01-30 9998
ip route
iproute2高级路由命令集
07-11
* 使用 ip rule add 命令添加一个路由表的时候,需要在/etc/iproute2/rt_tables 文件里面添加我们自己的路由表的 ID * 添加了路由表以后,还要配置,哪些条件的数据包,要查询这个路由表 * 内核中,创建了新路由表...
金山IpRule文件
02-12
很好用的跑跑隐身挂是金山的卡系统文件绝对不会封号哦 速度下吧
路由策略中的IP-Prefix详解.docx
最新发布
01-04
例如,想要匹配 192.168.1.0/24 这条路由,如果使用 ACL,可以写成 rule permit source 192.168.1.0 0.0.0.255,但是这实际上是不严谨的,因为它将 192.168.1.0、192.168.1.1、192.168.1.2、192.168.1.3…………等...
ip地址库 很全的库
02-08
ip地址资源 /** * */ package common.tools.ip.ipSeeker; import common.tools.ip.Utils; import common.webBase.base.util.Log4jUtil; import java.io.FileNotFoundException; import java.io....
创建和使用IP安全策略加强安全和保密
10-01
5. **创建策略规则**:将筛选器与筛选器动作关联,形成策略规则,如`netsh ipsec static add rule`,这样当匹配到该规则的数据包出现时,就会应用指定的动作(阻止或允许)。 6. **激活策略**:最后,通过`netsh ...
linux route 路由表操作命令
whatday的专栏
08-06 1297
目录 1.命令格式 2.命令功能 3.命令参数 4.使用实例 5.route add default dev eth0和route add default gw * dev eth0的区别 Linux系统的route命令用于显示和操作IP路由表(show/manipulatetheIProutingtable)。要实现两个不同的子网之间的通信,需要一台连接两个网络的路由器,...
iptables详解
魏志标的博客
06-26 6549
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
route详解
inter999的专栏
09-05 3886
route 显示/修改路由表( route table ) 语法: [root@test root]# route [-nee] [root@test root]# route add [-net|-host]目标主机或网域[netmask] [gw|dev] [root@test root]# route del [-net|-host]目标主机或网域[netmask] [gw|dev] 参数说
linux中路由策略rule和路由表table
热门推荐
@_囚徒-2018_的家园
06-03 2万+
1.linux系统中路由表table linux最多可以支持255张路由表,每张路由表有一个table id和table name。其中有4张表是linux系统内置的: (1)table id = 0 系统保留。 (2)table id = 255 称为本地路由表,表名为local。像本地接口地址,广播地址,以及NAT地址都放在这个表。该路由表由系统自动维护,管理员不能直接修改。 (3
iptables防火墙详解(三)
weixin_30466953的博客
09-10 62
linux 高级路由 策略路由(mangle表) lartc(linux advanced routing and traffic control) http://www.lartc.org # rpm -qa |grep iproute --iproute工具包软件 iproute-3.10.0-74.el7.x86_64 ip命令就属于iproute软件包 ip addr ...
Iptables 规则用法小结
zhiweiaixiaosang的专栏
11-16 1049
iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。以下对iptables的规则使用做了总结性梳理: iptables首先需要了解的: 1)规则概念 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存
理解 OpenStack 高可用(HA):Neutron 分布式虚拟路由(上)
qq_34043421的博客
05-20 1168
理解 OpenStack 高可用(1):OpenStack 高可用和灾备方案(上) 理解 OpenStack 高可用(1):OpenStack 高可用和灾备方案(下) 理解 OpenStack 高可用(2):虚拟路由冗余协议(上) 理解 OpenStack 高可用(2):虚拟路由冗余协议(下) Neutron 作为 OpenStack 一个基础性关键服务,高可用性(HA)和...
SNMP ipRouteTable Windows、AIX与LINUX不同
allway2的博客
06-18 997
Windows、AIX返回13个项目: ipRouteDest 1.3.6.1.2.1.4.21.1.1 ipRouteAge 1.3.6.1.2.1.4.21.1.10 ipRouteMask 1.3.6.1.2.1.4.21.1.11 ipRouteMetric5 1.3.6.1.2.1.4.21.1.12 ipRouteInfo 1.3.6.1.2....
#!/bin/sh # Set the name of the primary network interface primary_interface="eth0" # Set the name of the secondary network interface secondary_interface="wlan0" # Set the IP address range of the local network local_network="192.168.1.0/24" primary_interface_table="eth0_table" # Keep running the script indefinitely while true; do # Check if the primary interface is up and connected to the local network if ip addr show $primary_interface up | grep -q $local_network; then # Add a new routing table for the primary interface echo "200 $primary_interface_table" >> /etc/iproute2/rt_tables # Add default route for primary interface to the new routing table primary_gateway=$(ip route show | grep "default" | grep "$primary_interface" | awk '{print $3}') ip route add default via $primary_gateway dev $primary_interface table $primary_interface_table # Add a rule to route all traffic from primary interface through the new routing table primary_ip=$(ip addr show $primary_interface | grep "inet\b" | awk '{print $2}' | cut -d/ -f1) ip rule add from $primary_ip table $primary_interface_table # Remove any existing default route for the secondary interface ip route del default dev $secondary_interface else # Remove any existing routing table for the primary interface existing_table=$(grep -n " $primary_interface_table" /etc/iproute2/rt_tables | cut -f1 -d:) if [ ! -z "$existing_table" ]; then sed -i "${existing_table}d" /etc/iproute2/rt_tables ip route flush table $primary_interface_table ip rule del table $primary_interface_table fi # Add default route for the secondary interface secondary_gateway=$(ip route show | grep "default" | grep "$secondary_interface" | awk '{print $3}') ip route add default via $secondary_gateway dev $secondary_interface fi # Wait for 1 second before checking the network interfaces again sleep 1 done 运行上述脚本,提示ip: RTNETLINK answers: File exists, 请问如何修正
05-31
sed -i "/^200 $primary_interface_table$/d" /etc/iproute2/rt_tables ``` 2. 重新执行脚本。 如果还是出现相同的错误,你可以尝试重启网络服务,然后再执行脚本: ``` systemctl restart networking.service ``...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值