linux内核策略路由,linux基于策略的路由之一-优快云博客

选择器 = 匹配所有数据报

动作 = 察看主路由表(routing table main)， ID为254。

main路由表是默认的标准路由表，其包含所有非策略路由，main表是存放旧的路由命令(route命令)创建的路由。而且任何由ip route命令创建的没有明确指定路由表的路由都被加入到该路由表中。该规则不能被删除和被其他规则覆盖。

规则 32767: 优先级 32767 选择器 = 匹配所有数据报

动作 = 察看默认路由表(routing table default)，ID为253。

default路由表是空的，为最后处理(post-processing)所预留，若前面的默认规则没有选择该数据报时保留用作最后的处理。该规则可以被删除。

不要将路由表和规则混淆，规则是指向路由表的。也许会出现多个规则指向同一个路由表，而有些路由表可能并不被任何规则指向。如果删除了指向某个路由表的所有规则，则该表将不发生作用，但是表将仍然存在。一个路由表只有在其中包含的所有路由信息被删除才会消失。

前面提到，Linux策略规对应的动作除了指向一个路由表以外还能是若干种不同的动作。当创建一个策略规则，有如下类型的动作可以选择：

unicast -- 在该规则指向的路由表中进行标准的路由查找。当一个路由表被指定，这是默认的动作。

blackhole -- 规则动作将仅仅直接丢弃该数据报。

unreachable -- 规则动作产生一条网络不可达错误信息，一个类型为3，代码为0的ICMP消息被返回给发送者。

prohibit -- 规则动作产生一个通信被禁止的错误消息，一个类型为3，代码为13的ICMP消息被返回给发送者。

其他类型的动作也可以被使用，但是都和策略路由没有关系。它们被用来在内核中实现其他高级流控制和数据报操作。因为只有一个工具命令：ip，所有的这些类型都是可运用于该命令，但我们仅仅使用和上面有关的部分，可以是返回一条路由或其他若干个动作。

在解释示例以前，首先看看ip工具命令的语法。ip命令可以用在很多地方，这里仅仅讨论和策略路由相关的部分。都是由root在命令行直接运行的。

首先，看ip addr命令语法：root@netmonster# ip addr help

Usage: ip addr {add|del} IFADDR dev STRING

ip addr {show|flush} [ dev STRING ] [ scope SCOPE-ID ]

[ to PREFIX ] [ FLAG-LIST ] [ label PATTERN ]

IFADDR := PREFIX | ADDR peer PREFIX

[ broadcast ADDR ] [ anycast ADDR ]

[ label STRING ] [ scope SCOPE-ID ]

SCOPE-ID := [ host | link | global | NUMBER ]

FLAG-LIST := [ FLAG-LIST ] FLAG

FLAG := [ permanent | dynamic | secondary | primary |

tentative | deprecated ]

Example - ip addr add 192.168.1.1/24 dev eth0

该命令将添加IP地址192.168.2.2/24到eth0网卡上.

下面看看ip route命令：root@netmonster# ip route help

Usage: ip route { list | flush } SELECTOR

ip route get ADDRESS [ from ADDRESS iif STRING ]

[ oif STRING ] [ tos TOS ]

ip route { add | del | replace | change | append | replace | \

monitor} ROUTE

SELECTOR := [ root PREFIX ] [ match PREFIX ] [ exact PREFIX ]

[ table TABLE_ID ] [ proto RTPROTO ]

[ type TYPE ] [ scope SCOPE ]

ROUTE := NODE_SPEC [ INFO_SPEC ]

NODE_SPEC := [ TYPE ] PREFIX [ tos TOS ]

[ table TABLE_ID ] [ proto RTPROTO ]

[ scope SCOPE ] [ metric METRIC ]

INFO_SPEC := NH OPTIONS FLAGS [ nexthop NH ]...

NH := [ via ADDRESS ] [ dev STRING ] [ weight NUMBER ] NHFLAGS

OPTIONS := FLAGS [ mtu NUMBER ] [ advmss NUMBER ]

[ rtt NUMBER ] [ rttvar NUMBER ]

[ window NUMBER] [ cwnd NUMBER ] [ ssthresh REALM ]

[ realms REALM ]

unreachable | prohibit | blackhole | nat ]

TABLE_ID := [ local | main | default | all | NUMBER ]

SCOPE := [ host | link | global | NUMBER ]

FLAGS := [ equalize ]

NHFLAGS := [ onlink | pervasive ]

RTPROTO := [ kernel | boot | static | NUMBER ]

Example - ip route add 192.168.2.0/24 via 192.168.1.254

该示例将添加一条通过192.168.1.254到网络192.168.2.0/24的路由。

最后，看看ip rule命令：root@netmonster# ip rule help

Usage: ip rule [ list | add | del ] SELECTOR ACTION

SELECTOR := [ from PREFIX ] [ to PREFIX ] [ tos TOS ] [ fwmark FWMARK ]

[ dev STRING ] [ pref NUMBER ]

ACTION := [ table TABLE_ID ] [ nat ADDRESS ]

[ prohibit | reject | unreachable ]

[ realms [SRCREALM/]DSTREALM ]

TABLE_ID := [ local | main | default | NUMBER ]

Example - ip rule add from 192.168.2.0/24 prio 32777 reject

该命令将丢弃源地址属于192.168.2.0/24网络的所有数据报。

在讨论了命令语法以后，下面是一些上面命令的示例。

例 1：拒绝访问Internet

假设有一个防火墙连接本地局域网和Internet，你希望禁止局域网的一个子网访问Internet。当然这可以通过Linux数据报过滤防火墙来实现。但是下面我们将介绍另外一种实现方法。首先我们来假设有如下的网络配置：内部网络地址 192.168.0.0/16

被拒绝访问的子网 192.168.2.0/24当前主路由表(Routing Table Main,表254):

root@netmonster# ip route list table 254

default via 192.168.254.254 dev eth0 proto static

下面将针对该子网创建一条策略路由规则：ip rule add from 192.168.2.0/24 priority 5000 prohibit

现在任何从192.168.2.0/24子网发送来的数据报将得到一个类型为3，代码为13的ICMP消息，同时该数据报将被丢弃。

应该注意的是，在运行任何这些命令都需要发送“ip route flush cache"命令来刷新路由缓冲，否则命令在一段时间以后才会生效，这段时间的长短依赖于路由表结构的大小和负载。

将上面的例子需要的命令放在一起就如下所示：ip rule del priority 5000

ip rule add from 192.168.2.0/24 priority 5000 prohibit

ip route flush cache

这个命令流通过首先删除5000号规则来确保当前系统没有该规则然后再添加新的5000号规则。如果系统本来不存在5000号的规则则会返回一个错误信息。然后添加5000号规则并通过清空运行时的路由缓存来重置RPDB，则新规则将马上产生作用。

多路由表和IP地址

为了完全理解基于策略路由的使用，就需要学会使用Linux多路由表和IP地址，这包括多个方面的知识，下面通过示例来加以说明。

当获得ip工具，你可能会注意到在发布中有一个名为etc的子目录，其中有一个名为iproute2的子目录。应该拷贝该子目录到/etc目录下或在/etc目录下创建iproute2子目录。该目录包含用来命名路由表及策略路由结构的其他方面的文件。在该目录中创建rt_tables文件，其中示例文件一般已经包含了某些内容，并为路由表1提供了示例名。

下面首先编辑该文件来创建若干在下面的示例中使用的表：# reserved values

255 local

254 main

253 default

0 unspec

# local

1 goodnet1

2 goodnet2

3 badnet1

4 badnet2

5 internet

可以看到通过为路由表命名，就可以使用表数字ID或表名来引用路由表。例如下面两个命令将对同一个路由表进行操作：ip route list table 1