linux: ip rule 用法详解

这篇具有很好参考价值的文章主要介绍了linux: ip rule 用法详解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。


策略路由

我们不仅要根据目的地地址,还要根据其他数据包字段(源地址、IP 协议、传输协议端口甚至数据包有效负载)来不同地路由数据包。此任务称为策略路由。Linux 策略路由是一种基于策略的路由机制,相对于传统的基于目的地址的路由机制,它可以提供更灵活和强大的路由控制能力。

在 Linux 中,策略路由通过使用路由策略数据库(RPDB)来实现,它可以根据不同的源地址、传输层端口和 payload 等条件进行更细致的路由控制。

每条策略路由的规则由一个选择器一个动作组成,RPDB 按照优先级顺序进行规则匹配,优先级数字越小越优先。被选择器匹配的报文会执行对应的操作,操作如果成功,则根据指定的路由转发数据,之后终止 RPDB 匹配;如果执行失败,则报错并且终止 RPDB 匹配。否则 RPDB 将继续执行下一条规则。

在启动时,内核配置默认的 RPDB,包括三个规则:

  1. 优先级:0,选择器:匹配任何内容,操作:查找路由表本地(ID 255)。本地表是一种特殊的路由表,包含本地和广播地址的高优先级控制路由
  2. 优先级:32766,选择器:匹配任何内容,操作:查找路由表main(ID 254)。主表是包含所有非策略路由的常规路由表。此规则可以被删除和/或由其他规则覆盖管理员
  3. 优先级:32767,选择器:匹配任何内容,操作:查找路由表default(ID 253)。默认表为空。如果没有先前的默认规则选择数据包,则它将保留用于某些后处理。这条规则也可能将被删除

**注:**不要混淆路由表和策略:规则指向路由表,多个规则可以引用一个路由表,而且某些路由表可以策略指向它。如果系统管理员删除了指向某个路由表的所有规则,这个表没有用了,但是仍然存在,直到里面的所有路由都被删除,它才会消失。

linux 系统中,可以自定义从 1-252个路由表,其中,linux 系统维护了4个路由表:

  • 0#表: 系统保留表

  • 253#表: default table 没特别指定的默认路由都放在该表

  • 254#表: main table 没指明路由表的所有路由放在该表

  • 255#表: local table 保存本地接口地址,广播地址、NAT地址 由系统维护,用户不得更改

每个 RPDB 条目都有附加属性。每个规则都有一个指向某个路由表的指针。NAT 和伪装规则有一个属性来选择要翻译/伪装的新 IP 地址。除此之外,规则还有一些可选的路由拥有的属性,即领域。这些值不会覆盖路由表中包含的值。它们仅在路由未选择任何属性时使用。

RPDB 可能包含以下类型的规则:

  • unicast:规则规定返回在规则引用的路由表中找到的路由
  • blackhole:规则规定悄悄地丢弃数据包
  • unreachable:规则规定生成“网络不可达”错误
  • prohibit:规则规定生成“管理禁止通信”错误
  • nat:规则规定将IP数据包的源地址转换为其他值

linux: ip rule 用法详解,Linux 常用命令,linux,tcp/ip,网络

ip rule 描述

在 Linux系统中,ip rule 命令用于管理和配置策略路由(Policy-Based Routing)。策略路由允许根据数据包的特定属性(如源地址、目标地址、IP报文头部标记等)来选择不同的路由表进行路由决策,而非仅基于目的IP地址。这是传统路由(即使用 ip route 设置的主路由表)功能的一个补充和扩展。

语法

Usage: ip rule { add | del } SELECTOR ACTION
       ip rule { flush | save | restore }
       ip rule [ list [ SELECTOR ]]
SELECTOR := [ not ] [ from PREFIX ] [ to PREFIX ] [ tos TOS ]
            [ fwmark FWMARK[/MASK] ]
            [ iif STRING ] [ oif STRING ] [ pref NUMBER ] [ l3mdev ]
            [ uidrange NUMBER-NUMBER ]
            [ ipproto PROTOCOL ]
            [ sport [ NUMBER | NUMBER-NUMBER ]
            [ dport [ NUMBER | NUMBER-NUMBER ] ]
ACTION := [ table TABLE_ID ]
          [ protocol PROTO ]
          [ nat ADDRESS ]
          [ realms [SRCREALM/]DSTREALM ]
          [ goto NUMBER ]
          SUPPRESSOR
SUPPRESSOR := [ suppress_prefixlength NUMBER ]
              [ suppress_ifgroup DEVGROUP ]
TABLE_ID := [ local | main | default | NUMBER ]

常用:

ip rule flush # 刷新路由规则,此命令没有参数
ip rule list 	# 列出路由规则,此命令没有参数
ip rule add/del  SELECTOR ACTION

参数

ip rule add/del SELECTOR ACTION

可选的 option:
- type TYPE (default):规则类型
- from PREFIX:选择要匹配的源前缀
- to PREFIX:选择要匹配的目的前缀
- iif NAME:选择要匹配的传入设备。如果接口是环回,则该规则仅匹配源自此主机的数据包。这意味着您可以为转发的数据包和本地数据包创建单独的路由表,从而完全隔离它们。
- oif NAME:选择要匹配的传出设备。传出接口仅适用于来自绑定到设备的本地套接字的数据包
- tos TOS/dsfield TOS:选择要匹配的TOS值
- fwmark MARK:选择要匹配的标记值
- priority PREFERENCE:此规则的优先级。每个规则都应该有一个显式设置的唯一优先级值
- table TABLEID:如果规则选择器匹配,则要查找的路由表标识符。也可以使用查找而不是表格
- realms FROM/TO:选择规则是否匹配以及路由表查找是否成功的领域。 仅当路由未选择任何领域时才使用领域TO
- nat ADDRESS:要转换的IP地址块的基础(用于源地址)。 地址可以是NAT地址块的开始(由NAT路由选择),也可以是本地主机地址(甚至为零)。 在最后一种情况下,路由器不转换数据包,而是将其伪装到该地址。使用map-to代替nat意味着同样的事情

例子

ip rule add from 192.203.80/24 table inr.ruhep prio 220 # 通过路由表 inr.ruhep 路由来自源地址为192.203.80/24的数据包
ip rule add from 193.233.7.83 nat 192.203.80.144 table 1 prio 320	# 把源地址为193.233.7.83的数据报的源地址转换为192.203.80.144,并通过表1进行路由

ip rule,ip route,iptables 三者之间的关系

iptables:iptables 其实 不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过 iptables 这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫 netfilter

linux: ip rule 用法详解,Linux 常用命令,linux,tcp/ip,网络

注:图中 “路由判断” 就是使用 ip rule,ip route 设置的规则,其中 ip route 配置的路由表服务于 ip rule 配置的规则。

以一例子来说明:公司内网要求192.168.0.100 以内的使用 10.0.0.1 网关上网 (电信),其他IP使用 20.0.0.1 (网通)上网。

1,首先要在网关服务器上添加一个默认路由,当然这个指向是绝大多数的IP的出口网关:ip route add default gw 20.0.0.1

2,之后通过 ip route 添加一个路由表:ip route add table 3 via 10.0.0.1 dev ethX (ethx 是 10.0.0.1 所在的网卡, 3 是路由表的编号)

3,之后添加 ip rule 规则:ip rule add fwmark 3 table 3 (fwmark 3 是标记,table 3 是路由表3 上边。 意思就是凡事标记了 3 的数据使用 table3 路由表)

4,之后使用 iptables 给相应的数据打上标记:
iptables -A PREROUTING -t mangle -i eth0 -s 192.168.0.1 - 192.168.0.100 -j MARK --set-mark 3

参考

https://zhuanlan.zhihu.com/p/144585950

https://www.kancloud.cn/chunyu/php_basic_knowledge/2137338文章来源地址https://www.toymoban.com/news/detail-788540.html

到了这里,关于linux: ip rule 用法详解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux系统中curl命令用法详解

            在Linux系统中curl是一个利用URL规则在命令行下工作的文件传输工具,是一款强大的http命令行工具。它支持文件的上传和下载,是综合传输工具。         curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。     

    2024年01月24日
    浏览(43)
  • Linux中grep命令的用法详解

    引言: 在Linux系统中,grep(Global Regular Expression Print)是一个强大的命令行工具,它用于在文本文件中搜索指定的模式。grep命令不仅仅是一个简单的搜索工具,它还支持正则表达式,可以通过灵活的选项和参数组合来实现更复杂的搜索和匹配操作。本文将详细介绍grep命令的用

    2024年02月16日
    浏览(83)
  • Linux tail命令详解和高级用法举例

    目            录 一、概述 二、tail命令解释 1.命令格式; 2.功能 3.选项 4.选项的基本用法 (1) 显示行号 (2)忽略指定字符数 (3) 不显示文件名 三.基本功能 1、基本用法 (1) 查看文件末尾内容 (2) 实时监控文件变化 2、高级用法 (1)组合使用1:把一个应用程

    2024年01月16日
    浏览(45)
  • Linux中rz和sz命令用法详解

    在linux中rz 和 sz 命令允许开发板与主机通过串口进行传递文件了,下面我们就来简单的介绍一下rz 和 sz 命令的例子。 rz,sz是Linux/Unix同Windows进行ZModem文件传输的命令行工具。 优点就是不用再开一个sftp工具登录上去上传下载文件。 sz:将选定的文件发送(send)到本地机器

    2023年04月21日
    浏览(44)
  • Linux——网络通信TCP通信常用的接口和tcp服务demo

    socket()函数主要作用是返回一个描述符,他的作用就是打开一个网络通讯端口,返回的这个描述符其实就可以理解为一个文件描述符,tcp在通讯的时候是会开辟一个缓存空间的,我们发送和读取消息可以理解为在这个缓存空间中进行的。因此这里我们可以知道我们可以直接用

    2024年02月21日
    浏览(57)
  • Linux 网络编程学习笔记——一、TCP/IP 协议族

    数据链路层实现了网卡接口的网络驱动程序,以处理数据在物理媒介(以太网、令牌环等)上的传输,不同的物理网络具有不同的电气特性,网络驱动程序隐藏了这些细节,为上层协议提供一个统一的接口。最常用的协议是 ARP(Address Resolve Protocol,地址解析协议)和 RARP(

    2024年02月02日
    浏览(74)
  • 【Linux网络】TCP/IP三次握手、四次挥手流程

    目录 一、三次握手,建立连接 二、四次挥手,断开连接 三、主要字段  1、标志位(Flags)  2、序号(sequence number)  3、确认号(acknowledgement number) 四、三次握手的报文变化 五、四次挥手的报文变化 六、面试题 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手,

    2024年02月08日
    浏览(50)
  • Linux常用命令之find命令详解

    find命令主要用于:用来在指定目录下查找文件。任何位于参数之前的字符串都将被视为欲查找的目录名。 如果使用该命令时,不设置任何参数,则find命令将在 当前目录 下查找子目录与文件。并且将查找到的子目录和文件全部进行显示。 是我们在日常维护Linux时必备的一个

    2024年02月03日
    浏览(38)
  • Linux网络编程——C++实现进程间TCP/IP通信

    地址接口 1、通用地址接口 共16字节 = 2字节地址类型 + 14字节地址数据 2、自定义地址接口 地址转换 1、需要将点分字符串ip转化为程序ip,使用inet_addr函数: 2、字节序转换 地址接口配置中的端口需要字节序转换,网络规定使用大端字节序。 地址接口配置 1、socket:创建套接

    2024年02月20日
    浏览(57)
  • linux网络配置命令(ifconfig)和网络任务管理命令(ip)

            ifconfig 命令用来查看和配置网络设备。当网络环境发生改变时可通过此命令对网络进行相应的配置。 命令格式:                                 ifconfig 网络设备 参数 命令选项:         up : 启动指定网络设备/网卡         down

    2024年02月13日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包