本文分享自天翼云开发者社区《iptables- MARK与CONNMARK目标》,作者:李****佳
一、概念 MARK和CONNMARK是Linux中iptables防火墙规则中的两个重要目标,用于标记数据包以及连接。
1.1 MARK目标: 1.MARK目标允许你为匹配的数据包设置一个32位的标记,这个标记可以在后续的规则中被使用。
2.通过MARK目标,你可以在数据包上打上一个标记,然后在后续的规则中通过条件匹配这个标记来进行进一步的处理。
3.例如,你可以使用MARK目标来标记特定类型的流量(如VoIP流量、视频流量等),然后在后续的规则中基于这些标记来进行不同的处理,比如限速、优先级调整等。
2.2 CONNMARK目标:
1.CONNMARK目标的作用是在连接跟踪表中设置或修改连接的标记,而不仅仅是单个数据包的标记。
2.它通常用于在连接级别上对数据流进行标记,这样可以跟踪整个连接的状态,并且在连接的生命周期内保持一致性。
3.CONNMARK目标允许你基于连接的属性(如源IP、目标端口等)来标记连接,然后在后续的规则中根据这些标记来进行相应的处理。
二、使用方法
2.1 MARK 的使用方法
MARK 目标用于给匹配的数据包添加一个特定的标记值。以下是一个基本的使用方法:
iptables -t mangle -A PREROUTING -s 源IP地址 -j MARK --set-mark 标记值
• -t mangle:指定操作的表为 mangle 表,mangle 表用于数据包修改。 • -A PREROUTING:表示将规则添加到 PREROUTING 链中,即数据包进入路由之前的处理阶段。 • -s 源IP地址:用于匹配数据包的源 IP 地址。 • -j MARK --set-mark 标记值:当数据包匹配规则时,使用 MARK 目标并设置标记值。
2.2 CONNMARK 的使用方法 CONNMARK 目标用于对连接进行标记,而不是对单个数据包。以下是一个基本的使用方法:
# 给特定连接的首次数据包标记
iptables -t mangle -A PREROUTING -s 源IP地址 -j CONNMARK --set-mark 连接标记值
# 在后续规则中使用连接标记
iptables -t mangle -A PREROUTING -m connmark --mark 连接标记值 -j ACCEPT
• 第一条规则将来自特定源 IP 地址的连接标记为指定的连接标记值。 • 第二条规则使用 -m connmark 来匹配已经标记的连接,并执行相应的动作。