TTL:修改数据包的生存时间 MARK:设置特殊标记 SECMARK(1.1.19版本无):设置安全的标记 CONNSECMARK(1.1.19版本无):从完整链接或单个数据包内拷贝安全标记说明 nat表(主要是前3项) DNAT:目标地址转换,修改目的地址,重定向至指定ip SNAT:源地址转换,可以很好的隐藏源地址 MASQUERADE:ip伪装,查找匹配数据包可用ip地址...
–and-mark value 数据包的nfmark值和value进行按位与运算。 –or-mark value 数据包的nfmark值和value进行按或与运算。 3)MARK match的选项 选项 功能 [!] –mark value[/mask] 数据包的nfmark值与value进行匹配,其中mask的值为可选的 先说说CONNMARK和MARK的区别: ...
时至今日,在linux里只有一种方法能设置mark,即iptables的MARKtarget,以前在ipchains里是FWMARKtarget。这就是为什么在高级路由里我们仍要参照FWMARK的原因。mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了:) Table 1-10. Mark match options 4.3.4. Multiport ma...
iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffffiptables -A PREROUTING -t mangle -i eth2 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0x...
nfmark = (nfmark & ~nfmask) ^ (ctmark & ctmask); 例如:nfmask定义要清除的位,ctmask将ctmark的哪些位XOR到nfmark中。ctmask和nfmask默认为0xFFFFFFFF。 --restore-mark仅在mangle表中有效。 以下助记符可用于--set-xmark: --and-mark bits ...
Table 1-10. Mark match options 4.3.4. Multiport match 多端口匹配扩展使我们能够在一条规则里指定不连续的多个端口,如果没有这个扩展,我们只能按端口来写规则了。其实这只是标准端口匹配的增强版罢了,使我们书写规则更方便而已。 注意:不能在一条规则里同时使用标准端口匹配和多端口匹配,如--sport 1024:63353...
参数--mark 范例iptables -t mangle -A INPUT -m mark --mark 1 说明 用来匹配封包是否被表示某个号码,当封包被 匹配成功时,我们可以透过MARK 处理动作,将该封包标示一个号码,号码最大不可以超过4294967296。 参数-m owner --uid-owner 范例 iptables -A OUTPUT -m owner --uid-owner 500 ...
关于mangle模块,内核里主要有三个功能模块: mark match、MARK target 、CONNMARK target。 1)CONNMARK target的选项 选项 功能 --set-mark value[/mask] 给链接跟踪记录打标记。 --save-mark [--mask mask] 将数据包上的标记值记录到链接跟踪记录上。
TOS对IP包的TOS字段做设置,这和MARK的最大不同在于,TOS是真的对IP包做修改,所以,可用于多个kernel控制下传递可指导路由的信息。这个 也只能用在mangle表中。 REJECT等于DROP再加你想回复的消息,如 -j REJECT –reject-with tcp-reset SNATSource Network Address Translation. 只能用在nat表中。其中 –to-source...
iptables [-t table] command [match] [target/jump] 注意target指令必须在最后。为了易读,我们一般用这种语法。 如果不想用标准的表,就要在[table]处指定表名。一般情况下没有必要指定使用的表,因为iptables 默认使用filter表来执行所有的命令。也没有必要非得在这里指定表名,实际上几乎可在规则的任何地方。当然...