TCP/IP详解 第七章 防火墙和网络地址转换(3) iptables防火墙的mangle表
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。
内网的客户机通过Linux主机连入Internet,而Linux主机与Internet连接时有两条线路,它们的网关如图所示。现要求对内网进行策略路由,所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去,而所有访问UDP协议53号端口的数据包都从Cernet线路出去。
这是一个策略路由的问题,为了达到目的,在对数据包进行路由前,要先根据数据包的协议和目的端口给数据包做上一种标志,然后再指定相应规则,根据数据包的标志进行策略路由。为了给特定的数据包做上标志,需要使用mangle表,mangle表共有5条链,由于需要在路由选择前做标志,因此应该使用PREROUTING链,下面是具体的命令。
iptables -t mangle -A PREROUTING -i eth0 -p tcp
--dport 80 -j MARK --set- mark 1
iptables -t mangle -A PREROUTING -i eth0 -p udp
--dprot 53 -j MARK --set- mark 2
以上命令在mangle表的PREROUTING链中添加规则,为来自eth0接口的数据包做标志,其匹配规则分别是TCP协议、目的端口号是80和UDP协议、目的端口号是53,标志的值分别是1和2。数据包经过PREROUTING链后,将要进入路由选择模块,为了对其进行策略路由,执行以下两条命令,添加相应的规则。
ip rule add from all fwmark 1 table 10
ip rule add from all fwmark 2 table 20
以上两条命令表示所有标志是1的数据包使用路由表10进行路由,而所有标志是2的数据包使用路由表20进行路由。路由表10和20分别使用了ChinaNet和Cernet线路上的网关作为默认网关,具体设置命令如下所示。
ip route add default via 10.10.1.1 dev eth1 table 10
ip route add default via 10.10.2.1 dev eth2 table 20
以上两条命令在路由表10和20上分别指定了10.10.1.1和10.10.2.1作为默认网关,它们分别位于ChinaNet和Cernet线路上。于是,使用路由表10的数据包将通过ChinaNet线路出去,而使用路由表20的数据包将通过Cernet线路出去。
(2)
iptables网关服务器三块网卡:eth0(网通ip:10.0.0.1)、eth1(电信ip:20.0.0.1);eth2:网关192.168.10.1。
要求:公司内网要求192.168.10.1---100以内的ip使用 10.0.0.1 网关上网(网通),其他IP使用 20.0.0.1 (电信)上网;
iptables网关服务器配置如下:
mangle应用顺序要高于nat、filter哈。
案例2、
iptables网关服务器三块网卡:eth0(网通ip:10.0.0.1)、eth1(电信ip:20.0.0.1);eth2:网关192.168.10.1。
要求:公司内网要求员工访问外面的网站服务;使用 10.0.0.1 网关上网(网通),其他IP使用 20.0.0.1 (电信)上网;
TCP/IP详解 第七章 防火墙和网络地址转换(3) iptables防火墙的mangle表相关推荐
- TCP/IP详解 第七章 防火墙和网络地址转换(1)
一.引言 1.Internet和协议发展初期,仅用于大学和科研机构.处于没人攻击状态. 2.20世纪80.90年代,成功的攻击成了家常便饭.为了解决这个问题,引入了防火墙. Ø 了解防火墙 l 用一种 ...
- TCP/IP详解--第七章
第7章 Ping程序 7.1 引言 "ping"这个名字源于声纳定位操作.Ping程序由MikeMuuss 编写,目的是为了测试另一 台主机是否可达.该程序发送一份 IC ...
- TCP/IP详解--第十七章
第17章 TCP:传输控制协议 17.1 引言 本章将介绍 TCP为应用层提供的服务,以及 TCP首部中的各个字段.随后的几章我们在了 解TCP的工作过程中将对这些字段作详细介绍. 对TC ...
- TCP/IP详解--第五章
第5章 RARP:逆地址解析协议 5.1 引言 具有本地磁盘的系统引导时,一般是从磁盘上的配置文件中读取 I P地址.但是无盘机, 如X终端或无盘工作站,则需要采用其他方法来获得 IP地址. ...
- TCP/IP详解--第三章
第3章 IP:网际协议 3.1 引言 IP是TCP/IP协议族中最为核心的协议.所有的 TCP.UDP.ICMP及IGMP数据都以 IP数据 报格式传输(见图 1-4).许多刚开始接触 TCP/ ...
- TCP/IP详解第一卷第一章重点摘要
一.协议族 一系列相关协议的集合称为协议族 指定一个协议族中的各种协议之间的相互关系并划分需要完成的任务设计,称为协议族的体系结构或参考模型 二.TCP/IP TCP/IP是一个开放的系统,协议族定义 ...
- TCP/IP详解--第十一章
第11章 UDP:用户数据报协议 11.1 引言 UDP是一个简单的面向数据报的运输层协议:进程的每个输出操作都正好产生一个 UDP . 数据报,并组装成一份待发送的 I P 数据报 ...
- TCP/IP详解--第四章
第4章 ARP:地址解析协议 4.1 引言 本章我们要讨论的问题是只对 TCP/IP协议簇有意义的 IP 地址.数据链路如以太网或令牌 环网都有自己的寻址机制(常常为 48 bit 地址),这是使 ...
- TCP/IP详解笔记----第一章:概述
第一章 概述 这一章主要介绍了TCP/IP的概貌.包括分层.网络地址.客户-服务器模型.常见知名应用层服务端口号等等.需要重点掌握和了解的是以下知识点. 1.TCP/IP的重要作用: 很多不同厂商生产 ...
最新文章
- ob_start()失效与phpunit的非正常结束
- 二,zabbix与php的一些问题
- 忘掉 Java 并发,先听完这个故事。。。
- 理解jQuery的 $ 和 $( )的含义
- Backbone学习日记第二集——Model
- Android复习资料
- NYOJ_23_取石子(一)
- 自旋锁spin_lock
- 无法启动此程序 因为计算机中丢失hypertrm.dll,开机弹出找不到HYPERTRM.dll
- 联通笔试真题(有答案)
- 别再问我Android前景如何了?我都要发飙了
- tibcorv入门实例
- 如何让搜索引擎收录我的站点
- CSS4day(圆角边框,阴影,浮动详解及其示例)
- 谈谈WebService开发-基础篇
- 液晶显示c语言程序设计,12864液晶显示屏串行驱动演示C语言程序设计
- HTML图片和文字一行时的对齐方式
- 外来常驻人员使用计算机,在计算机终端上插入外来移动存储介质时,最合理的做法应该是()...
- 需求DNA检测:如何判断一个功能是否值得做
- 证券公司信用风险管理体系—以平安证券为例-课后检验-满分
热门文章
- 估值最高达250亿元,钱大妈何以冲刺“生鲜零售第一股”?
- 记录:通过第三方获取接口获取客户端IP,并判断当前IP是否在中国境内
- 学系统集成项目管理工程师(中项)系列19a_成本管理(上)
- 淘宝店铺运营经验分享,有哪些因素会影响到宝贝的转换率,怎么做才能提高转化
- 编写C语言实现莫尔斯编码,翻译莫尔斯电码
- HttpOnly是怎么回事?
- 全面认识电子现金、电子钱包、qPBOC、闪付、UPCash
- 无法加载安装程序库wbemupgd.dll,或是找不到函数0cEntry。
- Mycat Mysql8.0配置详情
- 吐血安利数十款宝藏网站