linux环境下基于策略的路由,Linux环境下基于策略的路由6

最新推荐文章于 2024-05-08 16:33:12 发布
最新推荐文章于 2024-05-08 16:33:12 发布
阅读量199 收藏
点赞数
文章标签: linux环境下基于策略的路由
本文介绍了如何利用ipchains和策略路由来实现高级的网络控制。通过设置fwmark标记,可以针对不同来源的数据包指定不同的路由策略。例如,内部网B的目的端口80的数据包被允许通过特定路由,而内部网A的相同数据包则被禁止。此外,还展示了如何配置IP伪装,使得不同网络的数据包在转发时显示为不同的源地址。
摘要由CSDN通过智能技术生成

使用ipchains实现高级策略路由

在指定策略规则时可以使用的一个选项就是允许通过fwmark值来匹配某个规则。fwmark是一个数字标签,数据报过滤工具ipchains能将fwmark值附加给某个数据报。如果你对ipchains并不是很熟悉,你需要首先阅读ipchains-howto.

例 5:简单基于fwmard的策略路由

首先从一个简单的例子开始-利用上面示例中的多路由表,希望实现来自内部网B的、目的端口为80的数据发送到Internet,但是来自内部网A的、目的端口为80的数据则被禁止。首先清空这些路由表:

ip route flush table goodnet1

ip route flush table goodnet2

ip route flush table badnet1

ip route flush table badnet2

ip route flush table internet

ip route flush cache

而目前删除策略规则的方法就是将其一一列出来然后将其手工删除,也就是首先通过ip rule list命令将策略规则列出来然后使用ip rule del priority 将其删除。但这里假设当前没有任何规则并且路由表也是空的。

为了使用fwmark标记,首先应该指定希望使用ipchains标记的数据报,然后使用标记值来指定一条策略规则来处理该数据报。应该设定ipchians自动将十进制的标记转化为十六进制。ip rule希望输入为一个十六值。

首先配置ipchains规则使用合适的值标记输入数据报。假设当前没有其他防火墙规则:

ipchains -I input -p tcp -s 192.168.2.0/24 -d 0/0 80 -m 2

ipchains -I input -p tcp -s 192.168.1.0/24 -d 0/0 80 -m 16

现在设立策略规则,在上面为内部网A的标记值为十机制的16,下面定义相关的策略(应该注意到策略定义中使用的是十六进制,因此为10):

ip rule add fwmark 2 table goodnet1

ip rule add fwmark 10 prohibit

最后为路由表goodnet1定义如下的路由:

ip route add default via 172.17.1.254 table goodnet1

关于策略路由的一个常见问题是策略路由和IP伪装之间如何交互,这里我们不对该问题进行深入研究但是通过一个快速的示例来加以说明。需要注意的是在转发链之前对路由表进行查询。这意味着如果使用IP伪装,则路由选择器返回的任何源地址都将被作为进行IP伪装的地址。

例6:朵IP地址的IP伪装

使用上面的网络配置,我这里将对到三个网络的连接进行伪装处理,希望从系统中得到如下的输出:

从内部网A到网络C的数据报被伪装为10.254.254.2

从内部网络B到网络A的数据报被伪装为172.17.1.2

内部网到互联网的数据报都被伪装为172.17.1.128

eth0配置有如下地址:

阿航先生
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux下的策略路由
CoLiuRs
10-28 2475
策略路由:     Linux系统可以同时存在256(0-255)个路由表,而且每个路由表都各自独立,互不相关。数据包在传输时是根据RPDB(路由策略数据库)内的策略决定数据包应该用哪个路由表传输的。 /etc/iproute2/rt_tables  下定义了路由表 /etc/iproute2/rt_tables  下定义了路由表 格式 : 表 名称 表255 本地路由表(L
使用fwmark规则查路由表不通但直接配置静态ip rule可以的解决办法
星空千代
04-22 782
最近在做组网时,有一个根据fwmark查不同路由表的需求,但是配好之后怎么也不通,找了好久才得知问题所在。
解锁 Linux 网络配置:从入门到精通 ip 命令
最新发布
weixin_53510183的博客
05-08 714
本博客深入介绍了 Linux 中强大的网络管理工具——ip 命令的各种用法及实际应用场景。从基础配置到高级功能,覆盖了网络接口管理、路由配置、故障排查等方面。同时,解决了不同 Linux 发行版中 ip 命令的版本差异及常见问题。通过学习本博客,读者将掌握网络管理的关键技能,提升系统管理员的能力。
linux内核路由转发表的组成,linux路由转发表的检索过程(fib_lookup)
weixin_39946429的博客
05-04 986
1) 转发表(fib_table)是记录IP转发信息的索引表, 转发表的每一记录(节点)描述了具有某一类目的地址的IP包应该使用哪一输出设备发给哪一目的主机. 转发表记录按网络区进行分类, 每一网络区描述了在特定网络地址位长下具有不同网络号的目的地址的转发信息. 第0区的网络地址位长为0, 与所有的IP地址都匹配, 用来描述缺省网关, 第32区的网络地址位长为32, 用来与完整的IP地址匹配. 在...
linux 路由查找原则,Linux 路由 学习笔记 之七 策略规则的查找
weixin_29531989的博客
05-13 648
上面分析了策略规则的添加,本文分析一下策略规则的查找。其实策略规则的存在就是为了实现策略路由功能的,而在策略路由的查找一节已经分析了策略规则的查找了,但为了在这一节单独分析策略规则,此处也一并再分析一下。对于策略规则的功能模块来说,其查找函数是始于通用策略规则模块的fib_rules_lookup。1通用规则的查找函数1.1fib_rules_lookup这个函数的功能是策略路由对应的路由查找...
FwmarkServer 实现以及功能分析
Hugo的博客
01-07 1061
创建 还是在 main 函数中: int main() { ... FwmarkServer fwmarkServer(&gCtls->netCtrl, &gCtls->eventReporter, &gCtls->trafficCtrl); if (fwmarkServer.startListener()) { ALOGE("Unable to start FwmarkServer (%s)", strerror(e
Linux环境下基于策略路由实现多线路负载均衡.pdf
09-06
Linux环境下基于策略路由实现多线路负载均衡】 随着互联网的快速发展,越来越多的企业和个人需要通过多个网络出口接入Internet,以提高网络带宽和效率。在Linux操作系统中,利用策略路由(Policy Routing)可以...
Linux下基于策略路由实现带宽合并和负载均衡.pdf
09-06
Linux策略路由】是Linux操作系统中的高级路由机制,它允许管理员根据特定的策略或规则来决定数据包的转发路径,而不仅仅是基于目标IP地址。这一功能在2.2版本之后的Linux内核中引入,目的是为了满足更复杂、更灵活...
基于VLAN的策略路由的应用
04-16
简单介绍虚拟局域网(VLAN)及策略路由的概念,详细介绍在Linux下VLAN及策略路由的实现,根据具体问题并结合实例详细介绍在Linux下如何将二者结合解决实际问题。
Linux系统多网卡环境下的路由配置详解
01-10
Linux路由配置命令 1. 添加主机路由 route add -host 192.168.1.11 dev eth0 route add -host 192.168.1.12 gw 192.168.1.1 2. 添加网络路由 route add -net 192.168.1.11 netmask 255.255.255.0 eth0 route add...
Linux下基于路由策略的IP地址控制实例
03-04
Linux 下基于路由策略的 IP 地址控制实例 在 Linux 系统中,基于路由策略的 IP 地址控制实例是一个非常重要的知识点。本文将详细介绍如何使用路由策略来控制 IP 地址,以满足不同的网络需求。 一、背景描述 在 ...
IP命令详解(强大的命令)
热门推荐
白衣不染尘的博客
11-07 2万+
IP命令详解(强大的命令)简介语法结构OPTIONS选项OBJECT对象COMMAND命令ARGUMENTSIP addressip link语法ip route用法显示路由信息添加路由删除路由替换默认路由ip rule简介用法增加策略1、指定优先级2、不指定优先级3、iptables 的 set-mark功能实例总结ip tunnel简介ipv6 to ipv4ip neighbour用法显示邻居信息增加邻居信息删除邻居信息 简介 ip 是个命令, ip 命令的功能很多!基本上它整合了 ifconfig
Android多网络并存
汽车以太网和SOA
11-15 6490
Android多网络并存
IPVS源代码分析-----persistent connection和fwmark
阿戟哥哥的专栏
02-28 3720
persistent connetion和fwmark主要用于处理多连接的应用。主要参考http://www.austintek.com/LVS/LVS-HOWTO/HOWTO/LVS-HOWTO.fwmark.html#single_group
Android 策略路由
woai110120130的专栏
08-11 6005
Android使用netd对网络进行管理,一个操作系统如何对网络进行管理的呢,又是如何实现的,我们本篇文章就来分析一下。 Android的网络管理我觉得最重要的就是策略路由,为了了解Android的策略路由,我们先熟悉下路由规则。 路由器我们都比较熟悉,属于三成设备,路由器是用于数据报转发的,那么路由器如何确定将一个设备转发到下一跳路由呢,是通过路由表。 #ip route show 61.135.165.183 via 192.168.1.1 dev wlp5s0 proto unspec defaul
VRRP、keepalived简介及keepalived配置文件详解
weixin_43455673的博客
01-12 3723
一、VRRP协议简介 1、什么是VRRP协议? VRRP(Virtual RouterRedundancy Protocol)协议是用于实现虚拟路由器冗余的协议, VRRP 协议将两台或多台路由器设备虚拟成一个设备,对外提供虚拟路由器 IP(一个或多个),而在路由器组内部,如果实际拥有这个对外 IP 的路由器如果工作正常的话就是 MASTER,或者是通过算法选举产生, MASTER 实现针对虚拟路由器 IP 的各种网络功能,如 ARP 请求, ICMP,以及数据的转发等;其他设备不拥有该虚拟 IP,状态是
Linux基于mark策略路由以及nf_conntrack RELATED
Netfilter
10-21 1万+
谈到什么是意义,话题总显得很大,近日每晚都和老城里的朋友聊老城的文化,老城的老房子,老城的叫卖声,老城的方言…进行了很多的思考,也挺充实。至于技术方面,也有跟朋友以及前同事聊过,这些都是意义。又到了周末,早早起来写一篇技术总结,至于老城的话题,我会在朋友圈零零散散地写。本文关键词:Linux策略路由,nf_conntrack,socket,路由缓存再谈“哪里来的回哪里”当人们部署双线服务器时,比如一
linux还原路由表,Linux路由表与路由策略
weixin_42292348的博客
05-12 889
ip route 只是基于目的地址的路由选择ip rule 路由策略,控制路由选择,可根据源地址,源IP等进行路由选择路由策略由选择符合操作组成ip rule add 添加策略ip rule delete 删除策略ip rule show 显示策略使用路由策略可以更好的控制路由走向,类似于cisco下的 route map下面一个例子显示了使用路由策略的优点:假设有一台双线服务器有两张网卡...
Linux内核中的高性能策略路由实现与优化
在研究多种路由查找算法后,他们选择了适合实验环境的高效算法,设计并实现了两种新的策略路由:基于费用的策略和基于攻击检测的无路由策略。基于费用的策略利用多分支树查找算法来提高性能,无路由策略则通过自定义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值