2-iptables mangle 规则

最新推荐文章于 2025-08-05 16:24:17 发布
原创 最新推荐文章于 2025-08-05 16:24:17 发布 · 3.7k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

QOS的整个流程是:根据各种条件,如IP地址,数据包大小,上行,下行,这个信息在iptables里面都可以捕获到。然在iptables根据这些规则设置对应的mark,设置完mark,tc规则规则里面根据不同的mark执行不同的内容,如队列分配,限制带宽,流量分配算法。

0 数据流向
  • -i 指定数据包进入 PREROUTING、INPUT、FORWARD链时经由的接口。
  • -o 指定数据包出去 FORWARD、OUTPUT、POSTROUTING链时经由的接口。

当我们开启防火墙功能后,报文需要经过的路径是有区别的,如下图所示:
image.png

报文的流向:

  • 到本机某进程的报文:PREROUTING–>INPUT
  • 由本机转发的报文:PREROUTING–>FORWARD–>POSTROUTING
  • 由本机某进程发出的报文:OUTPUT–>POSTROUTING

对于QOS我们要做的是对转发的包进行规则处理,而内部的包不应该进行干预,另外我们的功能需求有总规则跟设备规则,设备规则要在总规则之前设置,这样才能符合总规则的要求。
根据上面的需求,所以将设备规则放在FORWARD里面,总规则放在POSTROUTING里面。

iptables的底层就是netfilter,根据不同的链在2、3、4层进行分布着,如prerouting在判断是否为本机地址前面,所以应该是在第2层,在上面的iptables数据流程都走完后,会走到底层的TC规则再走一次TC规则的数据流

一个链ACCEPT后,跳出这个链,可是接下去的链还是会经过,接着匹配

1.链初始化(标准链关联QOS链)

脚本启动后会调用ipt_first_setup,将mangle表里面关于QOS的信息全部清楚一边(-F -X),然后重新创建新的规则链(-N),将新的规则链接到对应的标准链上(-g)。

mangle表的5个链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

ipt_first_setup() {
    ipt -t mangle -F QOS_MARK_${IFACE}
    ipt -t mangle -X QOS_MARK_${IFACE}
    ipt -t mangle -N QOS_MARK_${IFACE}

    ipt -t mangle -F QOS_MARK_FORWARD_${IFACE}
    ipt -t mangle -X QOS_MARK_FORWARD_${IFACE}
    ipt -t mangle -N QOS_MARK_FORWARD_${IFACE}

    ipt -t mangle -F QOS_OUTPUT_${IFACE}
    ipt -t mangle -X QOS_OUTPUT_${IFACE}
    ipt -t mangle -N QOS_OUTPUT_${IFACE}

    ipt -t mangle -F QOS_INPUT_${IFACE}
    ipt -t mangle -X QOS_INPUT_${IFACE}
    ipt -t mangle -N QOS_INPUT_${IFACE}

    ipt -t mangle -F QOS_RULES_${IFACE}
    ipt -t mangle -X QOS_RULES_${IFACE}
    ipt -t mangle -N QOS_RULES_${IFACE}

    ipt -t mangle -F QOS_RULES_FORWARD_${IFACE}
    ipt -t mangle -X QOS_RULES_FORWARD_${IFACE}
    ipt -t mangle -N QOS_RULES_FORWARD_${IFACE}

    ipt -t mangle -A POSTROUTING -o ${IFACE} -g QOS_MARK_${IFACE}
    ipt -t mangle -A FORWARD -o ${IFACE} -g QOS_MARK_FORWARD_${IFACE}
    ipt -t mangle -A OUTPUT -o ${IFACE} -g QOS_OUTPUT_${IFACE}
    ipt -t mangle -A INPUT -i ${IFACE} -g QOS_INPUT_${IFACE}

    ipt -t mangle -A QOS_OUTPUT_${IFACE} -j MARK --set-mark $
最低0.47元/天 解锁文章
c++: mangle命名规则;命名空间
mzhan017的博客
08-04 480
其实可用根据binutils/c++filt的源代码看。找到mangle的命名规则,8SKString,8代表后面的8个字符是源代码里的符号名称:SKString。但是从网上找到了一个总结,但是github有时候上不去,摘录再次。N nested, 就是包含类名/域名。_Z是mangle符号的前置特征标记。E equal 等号。
6、iptables之RAW表和MANGLE
LiuWei
05-07 4785
文章目录1.说明2.raw表3.Mangle表 1.说明 RAW表 和 MANGLE 表 实事求是的说 在⼯工作中 ⼀一般⽤用到的确实⽐比较少,⽬前更更多的 还是处在⼀一个 探索和实验的阶段 后期 随着IPTABLES的发展更更新 可能这两个表 也会加⼊入到 主流⽤用法当中 2.raw表 RAW表 是IPTABLES中 第⼀一优先级的表 (四个表 实际上在处理理时 会有优先级 这个后 ⾯面 我们紧接着就会学到) 它的作⽤用是 针对⼀一个数据包 让它可以跳过 链接跟踪 和 NAT 一个数据包 在进⼊入
Iptable应用解析(Mangle
10-10
Iptables_应用解析II---NATMangle
iptablesmangle
热门推荐
奔跑的路
04-18 3万+
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。  内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cerne
iptables深入解析-mangle
weixin_34107739的博客
08-08 2425
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
iptablesmangle
IOsetting的专栏
02-13 2865
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 使用策略路由 对应的场景, 都是有多个网口, 常见的使用步骤 1. 创建路由表 Create new routing table 编辑 /etc/iproute2/rt_tables , 添加 [ID of your Table] [Name of your table] 使...
iptables mangle表研究(未完)
weixin_34184561的博客
02-25 193
mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。关于mangle模块,内核里主要有三个功能模块: ...
执行:~ # iptables -t mangle -N csl_lan ~ # iptables -t mangle -I INPUT 1 -j csl_lan ~ # ~ # iptables -t mangle -N csl_lan_dev1 ~ # iptables -t mangle -I csl_lan 1 -j csl_lan_dev1 ~ # iptables -t mangle -A csl_lan_dev1 -j MARK --set-mark 0x8002 ~ # iptables -t mangle -N match_dev1 ~ # iptables -t mangle -I INPUT 1 -j match_dev1 iptables -t mangle -A PREROUTING -m mac --mac-destination 20:7b:d2:42:d9:03 -j csl_lan 报错iptables v1.4.17: unknown option "--mac-destination"
10-22
iptables -t mangle -I INPUT 1 -j match_dev1 # 后插入的规则先执行 ``` - 导致数据包流向变为: ``` 数据包 → PREROUTING → match_dev1(无操作)→ INPUT链结束 ``` ### 完整修正方案 #### 步骤1:加载...
wan 到 lan通信的实验,lan是服务端 - iptables -t raw -N wan_to_lan_counter_pre_raw   - iptables -t raw -A wan_to_lan_counter_pre_raw  -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j RETURN - iptables -t raw -I PREROUTING   -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j wan_to_lan_counter_pre_raw   - iptables -t nat -N wan_to_lan_counter_pre_nat    - iptables -t nat -A wan_to_lan_counter_pre_nat   -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j RETURN - iptables -t nat -I PREROUTING   -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j wan_to_lan_counter_pre_nat   证明,在建立新的tcp连接时,后续不变,建立了DNAT转换 - iptables -t mangle -N wan_to_lan_counter_pre_man - iptables -t mangle -A wan_to_lan_counter_pre_man -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j RETURN - iptables -t mangle -I PREROUTING -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.3.1 -j wan_to_lan_counter_pre_man  计数 wan to lan通信计数 - iptables -t mangle -N wan_to_lan_counter_for_man - iptables -t mangle -A wan_to_lan_counter_for_man -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j RETURN - iptables -t mangle -I FORWARD  -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j wan_to_lan_counter_for_man 计数 lan to wan通信计数 - iptables -t filter -N wan_to_lan_counter_for_fil - iptables -t filter -A wan_to_lan_counter_for_fil -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j RETURN - iptables -t filter -I FORWARD  -i inf.4091 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j wan_to_lan_counter_for_fil 计数 lan to wan通信计数 - iptables -t mangle -N wan_to_lan_counter_post_man - iptables -t mangle -A wan_to_lan_counter_post_man  -o inf.1 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j  RETURN - iptables -t mangle -I POSTROUTING   -o inf.1 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j wan_to_lan_counter_post_man - iptables -t nat -N wan_to_lan_counter_post_nat - iptables -t nat -A wan_to_lan_counter_post_nat -o inf.1 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j RETURN - iptables -t nat -I POSTROUTING   -o inf.1 -p tcp  -s 192.168.3.101 -d 192.168.0.100 -j wan_to_lan_counter_post_nat将以上指令写成正确格式
08-26
iptables -t mangle -I PREROUTING -i inf.4091 -p tcp -s 192.168.3.101 -d 192.168.3.1 -j wan_to_lan_counter_pre_man # FORWARD链计数器(mangle表) iptables -t mangle -N wan_to_lan_counter_for_man ...
为什么11:22:33:44:55:66的设备进了class1而非默认类:iptables -t mangle -F iptables -t mangle -X iptables -t mangle -N zone_lan_csl iptables -t mangle -A FORWARD -j zone_lan_csl -i br0 iptables -t mangle -N zone_wan_csl iptables -t mangle -A FORWARD -j zone_wan_csl -i ae_wan@0 iptables -t mangle -N csl_lan_rule iptables -t mangle -A zone_lan_csl -j csl_lan_rule iptables -t mangle -N csl_lan_dev1 iptables -t mangle -A csl_lan_dev1 -j CONNMARK --set-xmark 0x1/0xffff iptables -t mangle -A csl_lan_dev1 -j MARK --set-xmark 0x1/0xffff iptables -t mangle -A csl_lan_dev1 -j ACCEPT iptables -t mangle -A zone_lan_csl -j csl_lan_dev1 iptables -t mangle -N csl_wan_dev1 iptables -t mangle -A csl_wan_dev1 -j CONNMARK --restore-mark --nfmask 0xffff --ctmask 0xffff iptables -t mangle -A csl_wan_dev1 -j MARK --set-xmark 0x1/0xffff iptables -t mangle -A csl_wan_dev1 -j ACCEPT iptables -t mangle -A zone_wan_csl -j csl_wan_dev1 iptables -t mangle -A csl_lan_rule -m mac --mac-source A1:2A:D4:FE:88:21 -j csl_lan_dev1 iptables -t mangle -N csl_lan_dev2 iptables -t mangle -A csl_lan_dev2 -j CONNMARK --set-xmark 0x2/0xffff iptables -t mangle -A csl_lan_dev2 -j MARK --set-xmark 0x2/0xffff iptables -t mangle -A csl_lan_dev2 -j ACCEPT iptables -t mangle -A zone_lan_csl -j csl_lan_dev2 iptables -t mangle -N csl_wan_dev2 iptables -t mangle -A csl_wan_dev2 -j CONNMARK --restore-mark --nfmask 0xffff --ctmask 0xffff iptables -t mangle -A csl_wan_dev2 -j MARK --set-xmark 0x2/0xffff iptables -t mangle -A csl_wan_dev2 -j ACCEPT iptables -t mangle -A zone_wan_csl -j csl_wan_dev2 iptables -t mangle -A csl_lan_rule -m mac --mac-source A6:2A:D4:FE:88:21 -j csl_lan_dev2 tc qdisc del dev ae_wan@0 root 2>/dev/null tc qdisc add dev ae_wan@0 root handle 3: htb default 0 # default tc class add dev ae_wan@0 parent 3: classid 3:0 htb rate 1000mbit ceil 1000mbit quantum 1500 tc qdisc add dev ae_wan@0 parent 3:0 handle 0: sfq perturb 10 # dev1 tc class add dev ae_wan@0 parent 3: classid 3:1 htb rate 20mbit ceil 20mbit quantum 1500 prio 3 tc qdisc add dev ae_wan@0 parent 3:1 handle 1: sfq perturb 10 tc filter add dev ae_wan@0 parent 3: protocol all prio 1 u32 match mark 0x1 0xffff flowid 3:1 # dev2 tc class add dev ae_wan@0 parent 3: classid 3:2 htb rate 10mbit ceil 10mbit quantum 1500 prio 3 tc qdisc add dev ae_wan@0 parent 3:2 handle 2: sfq perturb 10 tc filter add dev ae_wan@0 parent 3: protocol all prio 1 u32 match mark 0x2 0xffff flowid 3:2 # -- # # del: # tc filter del dev ae_wan@0 parent 3: protocol all prio 1 u32 match mark 0x2 0xffff flowid 3:12 # tc qdisc del dev ae_wan@0 handle 12: parent 3:12 # tc class del dev ae_wan@0 parent 3:1 classid 3:12 # -- tc qdisc del dev br0 root 2>/dev/null tc qdisc add dev br0 root handle 4: htb default 0 # default tc class add dev br0 parent 4: classid 4:0 htb rate 1000mbit ceil 1000mbit quantum 1500 prio 3 tc qdisc add dev br0 parent 4:0 handle 0: sfq perturb 10 # dev1 tc class add dev br0 parent 4: classid 4:1 htb rate 30mbit ceil 30mbit quantum 1500 prio 3 tc qdisc add dev br0 parent 4:1 handle 1: sfq perturb 10 tc filter add dev br0 parent 4: protocol all prio 1 u32 match mark 0x1 0xffff flowid 4:1 # dev2 tc class add dev br0 parent 4: classid 4:2 htb rate 20mbit ceil 20mbit quantum 1500 prio 3 tc qdisc add dev br0 parent 4:2 handle 2: sfq perturb 10 tc filter add dev br0 parent 4: protocol all prio 1 u32 match mark 0x2 0xffff flowid 4:2 # del: # tc class del dev br0 parent 4:1 classid 4:21 htb rate 30mbit ceil 30mbit quantum 1500 prio 3 # tc qdisc del dev br0 parent 4:21 handle 21: sfq perturb 10 # tc filter del dev br0 parent 4: protocol all prio 1 u32 match mark 0x1 0xffff flowid 4:21 # tc class change dev br0 parent 4:1 classid 4:21 htb rate 1000mbit ceil 1000mbit quantum 1500 prio 3
最新发布
10-24
iptables -t mangle -A zone_lan_csl -j csl_lan_dev2 # 规则3:无条件跳转到dev2 ``` - 当设备 `11:22:33:44:55:66` 的流量到达时: - 规则1 (`csl_lan_rule`) 检查 MAC 地址,但**未匹配**预设的 `A1:2A:D4:FE...
- iptables -t mangle -I PREROUTING -i inf.1 -p tcp -s 192.168.0.100 -d 192.168.3.101 -j lan_to_wan_counter_man   计数 lan to wan通信计数 - iptables -t mangle -I FORWARD  -i inf.1 -p tcp  -s 192.168.0.100 -d 192.168.3.101 -j lan_to_wan_counter_man   计数 lan to wan通信计数 - iptables -t filter -N lan_to_wan_counter_fil   - iptables -t filter -A lan_to_wan_counter_fil  -i inf.1 -p tcp  -s 192.168.0.100 -d 192.168.3.101 -j RETURN - iptables -t filter -I FORWARD   -i inf.1 -p tcp  -s 192.168.0.100 -d 192.168.3.101 -j lan_to_wan_counter_fil  计数 lan to wan通信计数 - iptables -t nat -I POSTROUTING   -o inf.4091 -p tcp  -s 192.168.0.100 -d 192.168.3.101 -j lan_to_wan_counter_nat   计数,在post处进行了nat转换,后续不变证明了建立了SNAT - iptables -t mangle -I POSTROUTING   -o inf.4091 -p tcp  -s 192.168.0.100 -d 192.168.3.101 -j lan_to_wan_counter_man   计数 lan to wan通信计数将以上命令的多余空格删除
08-26
2. iptables规则中的不同表(如mangle、filter、nat)有什么区别? 3. 如何验证iptables规则是否被正确应用? 4. 在复杂规则链中,如何管理规则顺序? 5. 为什么在PREROUTING和POSTROUTING链中添加规则很重要? ...
iptables mangle使用
qq_41167620的博客
01-02 728
通过mangle对报文添加标记,路由规则根据mark值控制匹配路由。
【5】iptables理解 - mangle
weixin_33862993的博客
05-08 529
mangle表:可以对数据包进行修改,此表中的链与其它表中的关系如下:数据包从网卡接口进来后,最先经过的就是mangle表中的prerouting链。此表中有五条链:iptables -t mangle -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destina...
iptables的filter、nat和mangle表详解
jkzyx123的博客
08-05 562
表名是否常用功能场景filter✅ 是防火墙、安全策略、端口放行等nat✅ 是端口转发、内网出公网、端口映射等mangle⚠️ 较高级QoS、策略路由、标记包、改 TTL 等。
iptables
个人博客:busyops.com
03-21 1171
一、基础概念 防火墙是是一款报文隔离工具,工作于主机或网络的边缘,它能够根据事先定义的检查规则对进出本主机或网络的报文做匹配检测,发现被规则匹配的报文则做出相应处理。Linux防火墙发展到今天,已经迭代很多次了,Linux内核1.0时代的初代防火墙被叫做ipfirewall,到Linux内核2.0的时候,防火墙就被叫做ipchains,在往后就被称为iptables了,但是到Linux内核4.0又被改名为nftables 1. 防火墙种类 主机防火墙 网络防火墙 2. iptables与netfilte
TCP/IP详解 第七章 防火墙和网络地址转换(3) iptables防火墙的mangle
caofengtao1314的专栏
06-22 613
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cernet线路出去。 这是一个策略路由的问题,为了达到目的,在对数据包进行路由前,要先根据数据包的协议和目的端口给数据.
Linux iptablesmangle表使用案例
weixin_34221036的博客
04-21 2149
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables命令详解
zgdong2025的专栏
11-19 487
iptables 指令语法 iptables [-t table] command [match] [-j target/jump] [-t table] 指定规则-t 参数用来,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下: nat:此规则表拥有 PREROUTING 和 POST
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Creator_Ly

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值