iptables- MARK与CONNMARK目标

天翼云开发者社区
• 阅读 40

本文分享自天翼云开发者社区《iptables- MARK与CONNMARK目标》,作者:李****佳

一、概念 MARK和CONNMARK是Linux中iptables防火墙规则中的两个重要目标,用于标记数据包以及连接。

1.1 MARK目标: 1.MARK目标允许你为匹配的数据包设置一个32位的标记,这个标记可以在后续的规则中被使用。

2.通过MARK目标,你可以在数据包上打上一个标记,然后在后续的规则中通过条件匹配这个标记来进行进一步的处理。

3.例如,你可以使用MARK目标来标记特定类型的流量(如VoIP流量、视频流量等),然后在后续的规则中基于这些标记来进行不同的处理,比如限速、优先级调整等。

2.2 CONNMARK目标:

1.CONNMARK目标的作用是在连接跟踪表中设置或修改连接的标记,而不仅仅是单个数据包的标记。

2.它通常用于在连接级别上对数据流进行标记,这样可以跟踪整个连接的状态,并且在连接的生命周期内保持一致性。

3.CONNMARK目标允许你基于连接的属性(如源IP、目标端口等)来标记连接,然后在后续的规则中根据这些标记来进行相应的处理。

二、使用方法

2.1 MARK 的使用方法

MARK 目标用于给匹配的数据包添加一个特定的标记值。以下是一个基本的使用方法:

  iptables -t mangle -A PREROUTING -s 源IP地址 -j MARK --set-mark 标记值

• -t mangle:指定操作的表为 mangle 表,mangle 表用于数据包修改。 • -A PREROUTING:表示将规则添加到 PREROUTING 链中,即数据包进入路由之前的处理阶段。 • -s 源IP地址:用于匹配数据包的源 IP 地址。 • -j MARK --set-mark 标记值:当数据包匹配规则时,使用 MARK 目标并设置标记值。

2.2 CONNMARK 的使用方法 CONNMARK 目标用于对连接进行标记,而不是对单个数据包。以下是一个基本的使用方法:

  # 给特定连接的首次数据包标记
iptables -t mangle -A PREROUTING -s 源IP地址 -j CONNMARK --set-mark 连接标记值

# 在后续规则中使用连接标记
iptables -t mangle -A PREROUTING -m connmark --mark 连接标记值 -j ACCEPT

• 第一条规则将来自特定源 IP 地址的连接标记为指定的连接标记值。 • 第二条规则使用 -m connmark 来匹配已经标记的连接,并执行相应的动作。

点赞
收藏
评论区
推荐文章
Wesley13 Wesley13
3年前
IPTABLES简介
iptables防火墙工作原理简介:iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率;   iptables属于“用户态”的防火墙管理体系。!(https://oscimg.oschina.net/oscnet/691dc3c1cdd75580e336
Wesley13 Wesley13
3年前
FLV文件格式
1.        FLV文件对齐方式FLV文件以大端对齐方式存放多字节整型。如存放数字无符号16位的数字300(0x012C),那么在FLV文件中存放的顺序是:|0x01|0x2C|。如果是无符号32位数字300(0x0000012C),那么在FLV文件中的存放顺序是:|0x00|0x00|0x00|0x01|0x2C。2.  
Stella981 Stella981
3年前
POI替换Word中的mark标记(指定字符串)
哈哈,这是鄙人在博客园的第一篇博客,以前都是在简书上码字,废话不多说,直接开工...需求分析:工作中遇到的一个技术需求,需要用java代码操作Word,查找Word中的mark标记,然后进行替换,简而言之就是“替换word中的指定字符串”;解决办法:可以用JACOB和POI来实现,下面我用的是POI操作。用poi必须要用到Apache的jar包,
Stella981 Stella981
3年前
Iptables简单的使用
清除已有iptables规则iptablesFiptablesXiptablesZ拒绝一切连接iptablesPINPUTDROP\允许访问22端口iptablesAINPUTptcpdport22jACCEPT将所有iptables以序号标记显示,执行:iptables
Stella981 Stella981
3年前
Linux iptables命令详解
iptables是Linux防火墙系统的重要组成部分,iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用iptables进行控制。下面良许小编就将从几个方面对于Linuxiptables命令进行详述,希望对大家有所帮助。!Linux命令(htt
Stella981 Stella981
3年前
Bypass ngx_lua_waf SQL注入防御(多姿势)
0x00前言ngx\_lua\_waf是一款基于ngx\_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则:select.(from|limit)(?:(union(.?)select))(?:from\Winformation_schema\W)这边
Stella981 Stella981
3年前
CentOS 6.5~7.x防火墙操作命令
网上搜集的防火墙操作命令,很实用CentOS6.5防火墙操作命令配置filter表防火墙清除预设表filter中的所有规则链的规则iptablesF清除预设表filter中使用者自定链中的规则iptablesX保存iptables配置servic
Stella981 Stella981
3年前
Centos7 firewall 基本操作
Centos7默认启用firewall替代原来的iptables。firewall与iptables一个明显的区别是:firewall属于动态防火墙,它拥有运行时配置和永久配置选项,它支持允许服务或者应用程序直接添加防火墙规则的接口,而iptables属于静态防火墙,任何操作都需要重启iptables服务。这里整理一些常用的f
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
美凌格栋栋酱 美凌格栋栋酱
4个月前
Oracle 分组与拼接字符串同时使用
SELECTT.,ROWNUMIDFROM(SELECTT.EMPLID,T.NAME,T.BU,T.REALDEPART,T.FORMATDATE,SUM(T.S0)S0,MAX(UPDATETIME)CREATETIME,LISTAGG(TOCHAR(
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
835
粉丝
16
获赞
40