策略路由与iptables

最新推荐文章于 2024-02-04 16:25:10 发布
最新推荐文章于 2024-02-04 16:25:10 发布
阅读量1k 收藏 4
点赞数
文章标签: linux 服务器 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60504871/article/details/125973595
版权

在 Linux 系统启动时,内核会为路由策略数据库配置三条缺省的规则: 

使用命令:ip rule list

  

0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。  
32766 匹配任何条件 查询路由表main(ID 254), 路由表main(ID 254)是一个通常的表,包含所有的无策略路由。系统管理员可以删除或者使用另外的规则覆盖这条规则。
32767 匹配任何条件 查询路由表default(ID 253) 路由表default(ID 253)是一个空表,它是为一些后续处理保留的。对于前面的缺省策略没有匹配到的数据包,系统使用这个策略进行处理。这个规则也可以删除。

不要混淆路由表和策略:规则指向路由表,多个规则可以引用一个路由表,而且某些路由表可以没有策略指向它。如果系统管理员删除了指向某个路由表的所有规则,这个表就没有用了,但是仍然存在,直到里面的所有路由都被删除,它才会消失。

# iptables

1. iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 

2.NAT

 iptables只是[Linux](http://lib.csdn.net/base/linux)防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 

```
四表五链:

- 5种链说明如下:

PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
 INPUT链——进来的数据包应用此规则链中的策略
 OUTPUT链——外出的数据包应用此规则链中的策略
 FORWARD链——转发数据包时应用此规则链中的策略
 POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

### 链和表的关系及顺序

PREROUTING: raw -> mangle -> nat
 INPUT: mangle -> filter
 FORWARD: mangle -> filter
 OUTPUT: raw -> mangle -> nat -> filter
 POSTROUTING: mangle -> nat

###  实际使用中是从表作为操作入口;表和链的关系

raw 表:PREROUTING,OUTPUT
 mangle表:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
 nat 表:PREROUTING,OUTPUT,POSTROUTING
 filter 表:INPUT,FORWARD,OUTPUT
```

iptables 选项:

- -F 删除指定表或链中的所有规则,若没有指定表或者链,则为所有表或者链

- -X 删除链本身,注意,只能删除用户自定义的链(并且该链没有被引用中)

- -P 对给定目标设置链策略(目标动作)。
  只有内置链(built-in chains)才有链策略,所有链都能设置策略。
  策略对象有以下四种:

- - ACCEPT 接收数据报
  - DROP 丢弃数据报
  - QUEUE 将数据报提交到用户空间
  - RETURN 将数据报原封不动地返回给上层链
    如果已经是顶层,则将取采取默认策略(ACCEPT,DROP)

下面介绍iptables mark简单的用法:

- -j MARK //-j代表动作这里代表要执行mark操作
- -m mark //-m代表匹配mark
- –mark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不过一般不会直接整个匹配,因为可能一个系统中很多模块都需要打mark,所以一般用掩码来取得某几位

```cpp
//打标记
iptables -t mangle -A PREROUTING -j MARK --set-mark 33
//匹配标记
iptables -t nat -A PREROUTING -m mark --mark 33  -j ACCEPT
//or-mark
iptables -t mangle -A PREROUTING -j MARK --or-mark 0x400
//掩码匹配
iptables -t nat -A PREROUTING -m mark --mark 0x400/0x400  -j ACCEPT
1
```

#### CONNMARK target的选项

| 选项                         | 功能                                     |
| ---------------------------- | ---------------------------------------- |
| --set-mark value[/mask]      | 给链接跟踪记录打标记。                   |
| --save-mark [--mask mask]    | 将数据包上的标记值记录到链接跟踪记录上。 |
| --restore-mark [--mask mask] | 重新设置数据包的nfmark值。               |

例子:

```undefined
iptables -t mangle -A QOS_MARK_FORWARD_eth1 -j CONNMARK --restore-mark --nfmask 0xfffff --ctmask 0xfffff
```

```undefined
iptables -t mangle -A QOS_MARK_FORWARD_eth1 -m mark --mark 0x0/0xfffff -j QOS_RULES_FORWARD_eth1
```

```undefined
iptables -t mangle -A QOS_RULES_FORWARD_eth1 -j CONNMARK --save-mark --nfmask 0xfffff --ctmask 0xfffff
```

#### MARK target 的选项

| 选项             | 功能                                    |
| ---------------- | --------------------------------------- |
| --set-mark value | 设置数据包的nfmark值。                  |
| --and-mark value | 数据包的nfmark值和value进行按位与运算。 |
| --or-mark  value | 数据包的nfmark值和value进行按或与运算。 |

```css
iptables -t mangle -A POSTROUTING -m iprange --src-range 192.168.0.2-192.168.0.200 -j MARK --or-mark 0x1
```

–or-mark 用于以或的关系设置mark,因为mark可能提前被提前设置过,如之前的mark为0x0100,通过–or-mark设置0x1后mark为0x0101,不会影响之前设置的mark,注意匹配是用掩码按位匹配。

而如果是–set-mark,会清楚之前的mark 0x0100 --set-mark(0x1) = 0x0001

#### MARK match的选项

| 选项                    | 功能                                                    |
| ----------------------- | ------------------------------------------------------- |
| [!] --mark value[/mask] | 数据包的nfmark值与value进行匹配,其中mask的值为可选的。 |

```
CONNMARK和MARK的区别:


同样是打标记,但CONNMARK是针对连接的,而MARK是针对单一数据包的
这两种机制一般都要和ip rule中的fwmark联用,实现对满足某一类条件的数据包的策略路由
1.对连接打了标记,只是标记了连接,没有标记连接中的每个数据包。标记单个数据包,也不会对整条连接的标记有影响。二者是相对独立的
2. 路由判定(routing decision)是以单一数据包为单位的。或者说,在netfilter框架之外,并没有连接标记的概念。或者说,ip命令只知道MARK, 而不知道CONNMARK是什么。
3.关键在于:给所有要进行ip rule匹配的单一数据包打上标记。方法一般有二:用MARK直接打,或者用CONNMARK –restore-mark把打在连接上的标记转移到数据包上。
```

```
 iptalbes 的多个MARK 模块的区别:

-m mark
-m connmark
-j MARK
-j CONNMARK
-j CONNSECMARK
-j SECMARK 

小写的是数据包匹配模块,大写的是数据包修改模块。

带 CONN 的是连接的标记,不带的是标记数据包的。

带 SEC 的是用于处理 IPSEC 数据的,不带的是处理一般数据的。

CONNMARK target options:
  --set-xmark value[/ctmask]    Zero mask bits and XOR ctmark with value
  --save-mark [--ctmask mask] [--nfmask mask]
                                Copy ctmark to nfmark using masks
  --restore-mark [--ctmask mask] [--nfmask mask]
                                Copy nfmark to ctmark using masks
  --set-mark value[/mask]       Set conntrack mark value
  --save-mark [--mask mask]     Save the packet nfmark in the connection
  --restore-mark [--mask mask]  Restore saved nfmark value
  --and-mark value              Binary AND the ctmark with bits
  --or-mark value               Binary OR  the ctmark with bits
  --xor-mark value              Binary XOR the ctmark with bits

在这个模块中..--save-mark,--set-mark,--restore-mark 
这些常用的..如何用..有什么区别呢

 --set-mark value[/mask]       Set conntrack mark value
  --save-mark [--mask mask]     Save the packet nfmark in the connection
  --restore-mark [--mask mask]  Restore saved nfmark value

就像描述中说的一样
--set-mark 是直接设置连接中的 mark(注意,不是设置数据包的)
--save-mark 是把数据包中的 mark 设置到连接中
--restore-mark 是把连接中的 mark 设置到数据包中

例子:
iptables -t mangle -A INPUT -m state --state NEW-j MARK --set-mark 1
iptables -t mangle -A INPUT -j CONNMARK --save-mark
iptables -t mangle -A INPUT -j CONNMARK --restore-mark

虽然只匹配了每个连接的第一个包,但通过后面两个操作,使得这个连接的每个包都被设置成了 MARK 1

这个功能在 ipp2p 结合 tc 进行限速时特别有用
http://www.ipp2p.org/docu_en.html#example

在表的开头添加规则 iptables -t table_name -I chain_name -s address/mask -j target
在表的尾部追加一条数据 iptables -f table_name -A chain_name -s address/mask -j target
在指定位置插入规则 iptables -t table_name -I chain place_num -s address/mask -j target
删除规则 iptables -t table_name -D chain_name line_number/rule
规则的修改iptables -t table_name -R INPUT chain_name rule_num rule
* 修改链的默认规则 iptables -t table_name -P chain_name target

默认情况下添加的规则都是临时的,当重启 iptables 或者重启系统时规则将丢失

ubuntu系统保存 iptables iptables-save

centos 系统保存 iptables service iptables save;centos6需要提前安装iptables-services

自定义链 iptables -t table -N customize_chain_name
重新命名自定义链 iptables -E TEXT TEST
在其他链中引用自定义链 iptables -t filter -I INPUT -p tcp --dport 80 -j TEXT
删除自定义链 iptables -t filter -E TEST;前提是没有引用自定义链且自定义链中规则为0
向自定义链中添加规则和默认相同;

 参数说明
参数    说明    示例
--flush -F chain    删除某个链或所有链的规则    iptables -F INPUT
--inster -I chain [rulenum]    插入规则(表第一行插入)    iptables -t filter -I INPUT -s 192.1.68.12.23 -j DROP
--source -s address[/mask]    指定条件(例中 -s 指定的是源 ip 地址)    iptables -t filter -I INPUT -s 192.1.68.12.23 -j DROP
--jump -j target    当-s 条件满足时要做的动作;常用动作如下;
ACCEPT: 允许数据包通过;
DROP:直接丢弃数据包,不给任何回应信息;
REJECT:拒绝数据包通过,需要时会给数据发送端一个相应信息    iptables -t filter -I INPUT -s 192.1.68.12.23 -j DROP
--append -A chain    添加一条规则(在表的尾部)    iptables -A INPUT -s 192.1.68.12.23 -j DROP
--delete -D chain rulenum    删除规则    iptables -t filter -D INPUT 3
--flush -F [chain]    删除链中所有规则    iptables -f filter -F INPUT
--replace -R chain rulenum    修改规则    iptables -t filter -R INPUT 1 -j ACCEPT
--policy -P chain target    修改链的默认规则    iptables -t filter -P INPUT DROP
--destination -d address[/mask]    指定目标ip或端口等规则    iptables -t filter -I INPUT -s 10.1.1.1 -d 10.1.2.2 -j ACCEPT
--protocol -p proto    指定协议(示例,拒绝 tcp)默认所有协议均可使用    iptables iptables -t filter -I INPUT -s 10.1.1.1 -d 10.1.1.2 -p tcp -j REJECT
--in-interface -i input name    定制网卡接口    iptables -t filter -I INPUT -i eth2 -p icmp -j DROP
--match -m match    指定模块    
--new -N chain    自定义链    iptables -t filter -N TEST
--delete-chain -X chain    删除自定义链,前提没有引用且自定义链中规则为0    iptables -t filter -X TEST
--rename-chain -E old-chain new-chain    修改链名    iptables -t filter -E TEXT TEST


```

摆烂选手一枚
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables(12)实际应用举例:策略路由iptables转发、TPROXY
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-27 1528
策略路由(Policy-Based Routing, PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。允许管理员根据特定的策略来决定数据包的路由路径,这些策略可以基于数据包的源地址、目的地址、协议类型、端口号等多种因素。路由器将通过PBR决定如何对需要路由的数据包进行处理,PBR决定了一个数据包的下一跳转发路由器。路由策略(Routing Policy)主要是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
iptables
大狮叽爸爸的博客
09-24 845
目录引言一、SNAT策略及应用1. SNAT策略概述2. SNAT策略工作原理3. SNAT策略的应用4. SNAT 策略用法4.1 案例环境说明4.2 打开网关的路由转发4.3 正确设置SNAT策略4.4 测试SNAT共享接入结果4.5 共享动态IP地址上网二、DNAT策略及应用1. DNAT策略概述2. DNAT 策略的应用3. DNAT 策略用法3.1 案例环境说明3.2 开启IP路由转发3.3 设置 DNAT 策略三、规则的导出、导入1. 规则的备份及还原1.1 iptables-save 命令1.
linux查询路由表local、路由表main、路由表default
chenliang0224的专栏
12-27 7083
转发:https://blog.csdn.net/u011068702/article/details/53899537   在 Linux 系统启动时,内核会为路由策略数据库配置三条缺省的规则:  0 匹配任何条件 查询路由表local(ID 255) 路由表local是一个特殊的路由表,包含对于本地和广播地址的高优先级控制路由。rule 0非常特殊,不能被删除或者覆盖。   32766 ...
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 6331
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
策略路由实现(基于ip rule、iproute、 iptables
锅锅的博客
02-18 1999
一个局域网上网电脑两张网卡: 10.0.1.123 20.0.1.123 需求: 局域网192.168.1.100以内走10.0.1.123 局域网192.168.1.100以上走20.0.1.123 设置 网关上: 1、添加默认路由(默认数据包走20.0.1.123) ip route default gw 20.0.1.123 2、添加路由表(10.0.1.123添加到路由表) ip route add fwmark 3 table 3 via 10.0.1.123 3、添加ip rule(打标记的数据
OpenWRT/Linux多WAN带宽叠加使用iptables标记策略路由负载均衡
张同光 (Tongguang Zhang):Hello everyone !
03-31 9918
OpenWRT/Linux多WAN带宽叠加使用iptables标记策略路由负载均衡
策略路由
•̀ࡇ•シ⚆_⚆
04-21 203
笔记
基于IptablesLinux策略路由的防火墙实现.pdf
09-06
基于IptablesLinux策略路由的防火墙实现.pdf
mwan3的代码和负载均衡的路由及iptables规则
03-13
1.mwan3的学习网址在https://mp.csdn.net/postedit/88431543 2.这里包括mwan3的代码、负载均衡生效后iptables的mangle表、以及IP路由的规则,供学习和参考
双线策略路由的三种实现方式总结
09-17
在这里,我们将总结三种实现双线策略路由的方式:静态路由、动态路由和iptables打标记+iproute2 fwmark。 静态路由方式 静态路由是最简单的实现双线策略路由的方式。该方式需要手动设置默认路由和策略路由规则。...
cisco 3560IOS升级支持策略路由
12-08
### Cisco 3560 IOS升级支持策略路由详解 在企业网络环境中,Cisco 3560系列交换机因其强大的性能、丰富的功能和高度的可管理性而被广泛采用。其中,策略路由(Policy-Based Routing,PBR)作为一项高级特性,能够...
Linux 策略路由简介.docx
09-23
Linux 策略路由是一种高级路由机制,允许系统根据特定条件选择不同的路由表进行数据包转发,从而实现更精细化的网络流量控制。在Linux中,策略路由主要涉及到多路由表和路由规则两个核心概念。 一、多路由表 1. ...
linux路由表配置
最新发布
maimang1001的专栏
02-04 216
D、解决方法,由于在table 0中添加路由只能解决目的地址或目的网络不同时路由问题,但两块网卡有相同的子网,网关也一样,目的子网也一样,所以已经不能通过在table 0添加路由记录来解决问题,我们只能添加其他编号的table,并在新的table中添加路由记录,使eth1的包选路时使用新的table的路由记录,并从eth1上出去。路由规则的查看使用ip rule sh路由规则也从0开始编号,可以自由添加,来源相同IP的路由规则选择根据规则编号的大小确定优先级,编号越小优先级越高。
iptables规则、路由表配置、虚拟IP创建常用操作
youcan_doit的博客
06-26 3560
iptables规则、路由表配置、虚拟IP创建常用操作
iptables raw表
leo_wanta的专栏
12-12 2467
转载地址:http://hi.baidu.com/farmerluo/blog/item/21e8dab45688c87e8ad4b261.html 1)  什么是raw表?做什么用的? iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw. 4个表的优先级由高到低的顺
linux路由表
vsdvds的博客
08-10 879
转载 Linux的初始化时路由表有三个,local、main、default ,local表里写着本地接口的地址,local表的优先级为0,查询路由时local表会最先被匹配,local无法被覆盖可能是说你无法增删一个local表,但是表项内容你还是可以修改的。但如果你新建了一个表T,那这个表T你是可以随意删除的。当你把某个接口地址从local表项中删除后,local表就无法匹配到这个地址,最终这个数据包会被其他表中的路由(甚至是默认路由)匹配到,然后就可能经过其他网卡了。 ...
Linux默认路由表及查询
Amazing
12-09 4458
Linux默认路由表及查询
iptables配置策略路由
linux_s2018的博客
04-24 1103
        使用iptables+mark+ipru 实现策略路由,需要配置rp_filter参数为0.        rp_filter是CentOS的路由追踪机制
Linux高级路由与流量控制指南
Netfilter与iptables一起工作,可以创建规则链,决定数据包的转发、接受或丢弃,以及执行更复杂的网络策略,如NAT转换。 文档还包含一些预备知识,如对TCP/IP协议的理解,以及如何查看和操作当前的网络配置。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值