iptables mangle使用

于 2023-01-02 23:47:27 发布
阅读量619 收藏
点赞数 2
文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41167620/article/details/128526731
版权
通过在Linux环境中使用iptables的mangle表对报文添加标记,然后根据mark值设置路由规则,控制报文通过特定接口转发。文章详细介绍了如何配置静态路由、添加mangle策略、启用路由转发、创建自定义路由表以及设定iprule,以实现报文从ens33接口发送并从ens38接口转发到192.168.200.1的目标地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过mangle对报文添加标记,路由规则根据mark值控制匹配路由。

准备工作:

linux ubuntu 虚拟机(192.168.10.105)

win10宿主机(192.168.10.104)

xcap自定义发包工具

模拟策略路由:

设置虚拟机网口ip

ens33 12.12.12.12

ens38 192.168.10.105

添加两个静态路由

0.0.0.0         12.12.12.1      0.0.0.0         UG    0      0        0 ens33

0.0.0.0         192.168.10.1    0.0.0.0         UG    0      0        0 ens38

为了可以 正常转发报文,并且12.12.12.1为不存在的终端,所以令12.12.12.1的mac与192.168.10.1的mac地址一样。

处理转发目的IP为192.168.200.1的报文

添加mangle策略

1、iptables -t mangle -A PREROUTING -i ens33 -d 192.168.200.1/32 -j MARK --set-mark 2

开启路由转发功能

1、vi /etc/sysctl.conf 修改net ipv4 forward 值为1

通过xcap向虚拟机的ens33接口发送报文

在没有添加路由规则时,在本地接收到的报文

由此可知,报文的转出转入在同一接口运行。

添加添加路由表,并设置路由规则。

linux存在255张路由表,系统自带4张路由表。

0#表 系统保留表

253#表 defulte table 没特别指定的默认路由都放在改表

254#表 main table 没指明路由表的所有路由放在该表

255#表 locale table 保存本地接口地址,广播地址、NAT地址 由系统维护,用户不得更改

默认使用254

ip route add default via 12.12.12.1 dev ens33 table 2

对ens33接口在路由表2添加默认路由

ip route add default via 192.168.10.1 dev ens38 table 3

对ens38接口在路由表2添加默认路由

 此时路由规则还未生效,需要通过ip rule规则将mangle表的mark值与路由策略关联在一起

添加路由规则,将标志mark==2的报文通过路由表3进行转发。

ip rule add from all fwmark 2 table 3

此时发现,接收到的报文已经根据路由策略在ens38口转发。

查看mangle表的命中信息

iptables -t mangle -L -v

命令总结:

使用到的添加命令

iptables -t mangle -A PREROUTING -I -d -j MARK --set-mark[]

ip route add via[] dev[] table[]

ip rule add from[] fwmark[] table[] pref[]优先级

查看

iptables -t[] -L -v

ip route show table table_num

ip rule show

删除

iptables -F -t mangle|iptables -D PREROUTING 2 -t mangle

ip route flush table[]

ip rule del pref[] table[] nat[] from[]

iptables的四表五链与NAT工作原理
tinychen
02-25 2620
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
iptables防火墙
cxsr888的博客
08-13 228
iptables防火墙
Iptable应用解析(Mangle
10-10
Iptables_应用解析II---NATMangle
iptablesmangle
热门推荐
奔跑的路
04-18 3万+
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。  内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cerne
iptables深入解析-mangle
weixin_34107739的博客
08-08 2377
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
iptablesmangle
IOsetting的专栏
02-13 2642
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 使用策略路由 对应的场景, 都是有多个网口, 常见的使用步骤 1. 创建路由表 Create new routing table 编辑 /etc/iproute2/rt_tables , 添加 [ID of your Table] [Name of your table] 使...
iptables mangle表研究(未完)
weixin_34184561的博客
02-25 178
mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。关于mangle模块,内核里主要有三个功能模块: ...
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
LINUXIPTABLES防火墙的基本使用教程
01-20
iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT * 对于nat来讲...
2-iptables mangle 规则
Creator_Ly的博客
05-05 3619
QOS的整个流程是:根据各种条件,如IP地址,数据包大小,上行,下行,这个信息在iptables里面都可以捕获到。然在iptables根据这些规则设置对应的mark,设置完mark,tc规则规则里面根据不同的mark执行不同的内容,如队列分配,限制带宽,流量分配算法。 0 数据流向 -i 指定数据包进入 PREROUTING、INPUT、FORWARD链时经由的接口。 -o 指定数据包出去 ...
iptables数据包、连接标记模块MARK/CONNMARK的使用(打标签)
angou6476的博客
02-05 1092
MARK标记用于将特定的数据包打上标签,供iptables配合TC做QOS流量限制或应用策略路由。 看看和MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt_MARK.so libxt_connmark.so libxt_mark.so 其中大写的为标记模块,小写的为匹配模...
【5】iptables理解 - mangle
weixin_33862993的博客
05-08 461
mangle表:可以对数据包进行修改,此表中的链与其它表中的关系如下:数据包从网卡接口进来后,最先经过的就是mangle表中的prerouting链。此表中有五条链:iptables -t mangle -L -n Chain PREROUTING (policy ACCEPT) target prot opt source destina...
TCP/IP详解 第七章 防火墙和网络地址转换(3) iptables防火墙的mangle
caofengtao1314的专栏
06-22 541
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cernet线路出去。 这是一个策略路由的问题,为了达到目的,在对数据包进行路由前,要先根据数据包的协议和目的端口给数据.
Linux iptablesmangle使用案例
weixin_34221036的博客
04-21 2110
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables
个人博客:busyops.com
03-21 1132
一、基础概念 防火墙是是一款报文隔离工具,工作于主机或网络的边缘,它能够根据事先定义的检查规则对进出本主机或网络的报文做匹配检测,发现被规则匹配的报文则做出相应处理。Linux防火墙发展到今天,已经迭代很多次了,Linux内核1.0时代的初代防火墙被叫做ipfirewall,到Linux内核2.0的时候,防火墙就被叫做ipchains,在往后就被称为iptables了,但是到Linux内核4.0又被改名为nftables 1. 防火墙种类 主机防火墙 网络防火墙 2. iptables与netfilte
6、iptables之RAW表和MANGLE
LiuWei
05-07 4563
文章目录1.说明2.raw表3.Mangle表 1.说明 RAW表 和 MANGLE 表 实事求是的说 在⼯工作中 ⼀一般⽤用到的确实⽐比较少,⽬前更更多的 还是处在⼀一个 探索和实验的阶段 后期 随着IPTABLES的发展更更新 可能这两个表 也会加⼊入到 主流⽤用法当中 2.raw表 RAW表 是IPTABLES中 第⼀一优先级的表 (四个表 实际上在处理理时 会有优先级 这个后 ⾯面 我们紧接着就会学到) 它的作⽤用是 针对⼀一个数据包 让它可以跳过 链接跟踪 和 NAT 一个数据包 在进⼊入
Iptables 详解
静静是我女朋友
11-29 1772
1:Iptables - Layer7 iptables默认是OSI三层和四层以及二层源MAC地址过滤 针对于某一个应用:xunlei,kugou,qq,msn,flv,p2p,httpd,smtp等等过滤,直接针对协议来过滤 Netfilter默认是没有这些功能的,如果我们需要使用到7层的,应用协议过滤,那么我们就必须对netfilter打补丁 Netfilter
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强壮的向阳花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值