iptables - 深入解析MARK和CONNMARK目标

最新推荐文章于 2025-03-22 21:30:40 发布
最新推荐文章于 2025-03-22 21:30:40 发布
阅读量4.7k 收藏 18
点赞数 6
分类专栏: iptables学习和使用 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_be_better_wen/article/details/128681893
版权

一. 前言

        MARK是iptables的一个目标,用于给数据包打上指定mark,当我们使用MARK目标的时候,通常是我们在配置策略路由(网上有很多文章介绍怎么配置策略路由的,这里不在赘述)的时候,需要给一个包加上某个mark,然后ip rule某条规则中的fwmark匹配到该mark,数据包就会根据该规则的lookup参数指定的路由表中的规则转发,举例如下:

# 匹配到fwmark 0x190(400)的包,会查找路由表3,根据路由表3的默认路由转发。
~ # ip rule show
0:      from all lookup local 
400:    from all fwmark 0x190 lookup 3 
32766:  from all lookup main 
32767:  from all lookup default 

~ # ip route show table 3
default via 192.168.2.5 dev eth2.2 

      CONNMARK也是iptables的一个目标,用于给一个网络连接标记一个连接mark,也就是网络连接的整个过程的交互包都被该连接mark标记。连接mark一般用于设备有多个WAN口的场景,假设当设备的默认路由是WAN1的时候,外面的设备访问到WAN2时,WAN2的回包正常会走WAN1出去(WAN1是默认路由接口),但是这时不对的。这时就需要给WAN2进来的数据包打上连接mark,并且配合策略路由,让包从WAN2返回,下一篇文章会介绍一个案例。

二. MARK目标

选项

1. --set-mark

        为匹配的数据包加上mark,如下:

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

        访问TCP的22端口的数据包打上2的mark。

三. CONNMARK目标

选项

1. --set-mark

        为匹配的数据包加上连接mark,该数据包所在的这条连接都由该连接mark标识。举例如下:

iptables -t mangle -A PREROUTING -p tcp --dport 80 -j CONNMARK --set-mark 4

        访问TCP的80端口的该条连接打上4的连接mark。也就是该数据包所在的连接被加上了4的连接mark。

2. --save-mark

        保存一个数据包的mark到该包所在的连接的连接mark,通俗的说就是一个数据包被标识了一个mark数值,--save-mark可以将该数值设置为该包所在连接的连接mark。举例如下:

iptables -t mangle -A PREROUTING -i eth2.2 -j MARK --set-mark 400
iptables -t mangle -A PREROUTING -j CONNMARK --save-mark

        上面第一行表示,从eth2.2来的数据包都加上400的mark,第二行表示将数据包的mark设置为通过eth2.2的连接mark。

3. --restore-mark

        作用和--save-mark相反,将连接mark设置到某个数据包中,成为该数据包的mark。通俗解释就是,我们通过--set-mark为一个数据包设置mark,通过--save-mark将整个连接设置了连接mark,但是除了第一个被--set-mark有mark标识除外,该连接其他的数据包是没有mark的,所以,我们需要--restore-mark,将连接mark重新设置回该连接的每个数据包中。数据包中有了mark,才能匹配到ip rule的fwmark,才能使用策略路由。举例如下:

iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark

        上面规则表示,通过OUTPUT出去包的数据包,都会将该数据包所在的连接的连接mark设置到该数据包中。我们知道,只有通过-j CONNMARK --setmark或者-j MARK --set-mark和--save-mark的配合使用才能给一个连接加上连接mark,所以,经过该规则的包,如果有连接mark,则连接mark会被设置到该包中,如果没有连接mark,但是包自身有mark,则自身的mark会被清除,如果没有连接mark,包自身也没有mark,则无影响

四. 总结

        MARK目标是为数据包加mark,CONNMARK是为某一条连接加连接mark,mark和连接mark可以通过--save-mark和--restore-mark的处理,将一个连接的连接mark设置为连接中的数据包mark,也可以将一个数据包的mark设置为所在的连接的连接mark。下一篇通过一个案例具体解析一下MARK和CONNMARK的作用。

IPTABLES MARK 多值复用 - 解决QOS策略路由兼容问题
钱国正的专栏
08-23 322
对进入路由器的系统,打mark可以让其走指定的路由表出去,但是,如果这个时候需要对数据报文进行分类,就需要对其打mark了,那么两个mark怎么共存呢?
iptables MARK
weixin_43855786的博客
04-10 915
内核设置数据包nfmark值的流程分为两步:(1)首先,内核会先用mask预处理数据包原来的nfmark,处理方法是:如果mask的第N位(二进制)为1,那么将数据包的nfmark第的N位(二进制)设置为0 ,nfmark其他的位保持不变(2)接着,再用上面预处理后的nfmarkvalue做异或操作,得到数据包最后的nfmark值。,然后再与0做异或操作,而0与任何值做异或都是该值本身,所以nfmark的最终值就是经过invbits预处理之后的值,。,很明显,实际的回复包与期望的回复包的源地址不一样。
iptables -j MARK --set-xmark 解析
云原生,DevOps,Kubernetes
04-16 4906
查看man命令帮助,还有网上搜到的解释不是很清晰,所以验证了一下,并尽量将其解释的通俗易懂。 MARK的作用 MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。 格式 --set-xmark value[/mask] 操作结果: ctmark = (ctmark AND NOT mask) XOR value 重点(解释) 就是先将 ctmark(原包)中的那些 mask标志出来的位清零(mask值为1的位,当然这里是转换为二进制后的位),然后再与给.
iptablesnetfilter内部报文处理
最新发布
m0_74186706的博客
03-22 1235
nat 表:实现地址转换,用于共享上网、端口转发。mangle 表:修改数据包元数据或打标记,支持高级网络管理。filter 表:核心过滤功能,控制流量进出。raw 表:优化性能,豁免连接追踪。netfilter是防火墙真正的安全框架,netfilter位于内核空间。iptables其实为一个命令行工具,位于用户空间。netfilter功能(NAT、数据包内容修改、数据包过滤的防火墙功能)。
iptablesCONNMARKMARK
Wait for 的专栏
01-10 7365
iptablesCONNMARKMARK Posted on January 24, 2012 iptablesCONNMARKMARK是用于给数据连接数据包打标记的两个target。一直没搞明白二者的区别。直到昨天花了不少时间解决openwrt下多路合并时工行网银登录问题,才大致弄清这两个target的用法。 两者的区别在于,同样是打标记,但CONNMARK
iptables中的MARK用法
XFH1207的博客
11-03 7867
1. MARK作用 给特定的数据包打上标记,配合TC做【QOS流量限制】 或 【策略路由实现】。 2. MARK相关的模块 libxt_mark.so libxt_connmark.so libxt_MARK.so libxt_CONNMARK.so libxt_SECMARK.so libxt_CONNSECMARK.so 小写是匹配模块,大写是标记模块。 带CONN的是标记链接,不带的是标记数据包。 带SEC的是处理IPSEC数据,不带的是处理一般数据。 -m 匹配 -m mark --mark va
iptables数据包、连接标记模块MARK/CONNMARK的使用(打标签)
angou6476的博客
02-05 1083
MARK标记用于将特定的数据包打上标签,供iptables配合TC做QOS流量限制或应用策略路由。 看看MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt_MARK.so libxt_connmark.so libxt_mark.so 其中大写的为标记模块,小写的为匹配模...
iptables - MARKCONNMARK的使用案例
to_be_better_wen的博客
01-15 1652
iptables MARKCONNMARK使用案例
iptables高级功能及安全策略推荐
iptables是Linux操作系统上一个非常强大的防火墙工具,它允许系统管理员通过配置规则集来过滤、转发修改网络数据包。它是Linux内核的一部分,并且具有广泛应用于网络安全网络管理方面。 ## 1.2 iptables的基本...
tcconfig与网络质量监控
随后深入解析tcconfig命令的细节实践应用,包括参数配置、带宽限制队列规则设置。第三部分聚焦于网络质量监控,提供监控工具选择、数据采集分析以及报警系统的配置性能优化建议。文章的最后一章探讨了t
iptables 的各中mark
Wait for 的专栏
01-10 1万+
本文着重分析内核中CONNMARK的实现,同时还包括MARK的matchtarget模块的实现。因为CONNMARK模块通常是MARK模块搭配使用的。关于iptables中如何使用这三个模块,参看本人的另外一篇文章《Netfilter CONNMARK用法及分析(一)-- iptables命令行的使用》。 本文欢迎自由转载,但请标明出处本文链接,并保持本文的完整性。 CU: Go
4-iptables mark标记
Creator_Ly的博客
05-06 4355
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。 下面介绍iptables mark简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以...
iptables mark 相关用法及使用举例
mudawei1的博客
08-13 2873
iptables mark使用方法,涉及到QOS ,rule route
iptables中的mark
weixin_30659829的博客
10-09 675
在vtun配置的mangle链中有一条规则 -A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff 下面分析mark何意。 mark值有何意义 mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了。比如,我们对一个流或从某台机子发出的所有的包设置了mark值,就可以利用高级...
关于IPTABLES 各种MARK 功能的用法
热门推荐
bytxl的专栏
04-03 2万+
1、 iptalbes 的有多个MARK 模块..用法各不相同..一直没有完全明白..希望高手解释一下各功能的使用及区别.... -m mark -m connmark -j MARK -j CONNMARK -j CONNSECMARK -j SECMARK 解释: 小写的是数据包匹配模块,大写的是数据包修改模块。 带 CONN 的是连接的标记,不带的是标记数据包的。 带
IPTABLES
愤怒de老鸟的专栏
07-08 714
iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤防火墙配置。 简介 防火墙在做信息包过滤决定时,有一套遵循组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 L
iptable mark功能
oujiangping的博客
08-08 2773
iptable的mark功能可以用于标记网络数据包,用于标记数据包。在一些不同的table或者chain之间需要协同处理某一个数据包时尤其有用。下面介绍iptables简单的用法: -j MARK //-j代表动作这里代表要执行mark操作 -m mark //-m代表匹配markmark xxx/yyy //xxx代表要匹配的mark的值,yyy代表掩码,如果要完全匹配可以省略掉掩码,不
Iptables数据包、连接标记模块MARK/CONNMARK使用
weixin_34392435的博客
05-04 450
原始出处:http://www.aikaiyuan.com/10387.html MARK标记用于将特定的数据包打上标签,供Iptables配合TC做QOS流量限制或应用策略路由。看看MARK相关的有哪些模块:ls /usr/lib/iptables/|grep -i marklibxt_CONNMARK.solibxt_MARK.solibxt_connmark.sol...
Netfilter CONNMARK用法及分析(一)-- iptables命令行的使用
bytxl的专栏
08-29 5419
http://blog.chinaunix.net/uid-10167808-id-26000.html 最近定位了内核中某模块与带宽管理联动的问题。最终发现是模块CONNMARK target联动时出现了问题,导致带宽管理没有效果。于是本文就结合内核的代码网上的一些文章来系统的分析一下iptables以及对应内核Netfilter(文中简称NF)框架中CONNMARK的用法实现。
iptables -t mangle -A OUTPUT -m state --state NEW -j HMARK --hmark-tuple src,sport,dst,dport --hmark-mod 7 --hmark-rnd 0xcafeface --hmark-offset 0x65 iptables -t mangle -A OUTPUT -m state --state NEW -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff iptables -t mangle -A OUTPUT -m state --state RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff 这3串代码实现了什么功能?
07-14
这三条iptables规则实现了以下功能: 1. 第一条规则: - 匹配状态为NEW的数据包(即新建连接的数据包)。 - 对匹配的数据包应用HMARK(哈希标记)动作。 - 使用源IP地址、源端口、目标IP地址目标端口作为哈希元组。 - 应用哈希算法mod 7。 - 设置随机种子为0xcafeface。 - 设置哈希偏移量为0x65。 这条规则的作用是对新建连接的数据包进行哈希标记,使用特定的哈希算法参数来生成标记。 2. 第二条规则: - 匹配状态为NEW的数据包。 - 对匹配的数据包应用CONNMARK(连接标记)动作。 - 保存当前连接标记到数据包的元数据中。 - 设置netfilter掩码为0xffffffff。 - 设置连接跟踪掩码为0xffffffff。 这条规则的作用是保存当前连接的标记到数据包的元数据中,以便后续的处理可以使用该标记。 3. 第三条规则: - 匹配状态为RELATED或ESTABLISHED的数据包(即相关或已建立连接的数据包)。 - 对匹配的数据包应用CONNMARK动作。 - 从数据包的元数据中恢复连接标记。 - 设置netfilter掩码为0xffffffff。 - 设置连接跟踪掩码为0xffffffff。 这条规则的作用是从相关或已建立连接的数据包的元数据中恢复连接标记,以便后续的处理可以使用该标记。 总体上,这三条规则用于在mangle表的OUTPUT链中对输出数据包进行处理标记,以便后续的处理或路由决策能够根据这些标记来进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值