策略路由
命令簡介
- ipset: ipset是iptables的擴展, 它允許你創(chuàng)建匹配整個地址集合的規(guī)則. 而不像普通的iptables鏈只能單IP匹配, ip集合存儲在帶索引的數(shù)據(jù)結(jié)構(gòu)中, 這種結(jié)構(gòu)即時集合比較大也可以進行高效的查找幌绍,除了一些常用的情況, 比如阻止一些危險主機訪問本機, 從而減少系統(tǒng)資源占用或網(wǎng)絡(luò)擁塞, IPsets也具備一些新防火墻設(shè)計方法, 并簡化了配置.
- iptables: Linux 防火墻
- iproute2:
ip
- link # 網(wǎng)絡(luò)設(shè)備配置命令,可以啟用/禁用某個網(wǎng)絡(luò)設(shè)備铃在,改變mtu及mac地址等叔磷。
- addr # 用于管理某個網(wǎng)絡(luò)設(shè)備與協(xié)議有關(guān)的地址ip link類似拢驾,不過增加了協(xié)議有關(guān)的管理(比如增加ip地址)
- addrlabel # IPV6的地址標簽,主要用于RFC3484中描述的IPV6地址的選擇改基。RFC3484主要介紹了兩個算法繁疤,用于IPV6地址的選擇策略。
- rule # 管理路由,添加與刪除等稠腊。
- neigh # 用于neighbor/ARP表的管理躁染。如顯示,插入架忌,刪除等吞彤。
- tunnel # 隧道配置,隧道的作用是將數(shù)據(jù)(可以是不同協(xié)議)封裝成IP包然后在互聯(lián)網(wǎng)上將包發(fā)出叹放。
- maddr # 多播地址管理
- mroute # 多播路由管理
- monitor # 狀態(tài)監(jiān)控饰恕,如可以持續(xù)監(jiān)控IP地址和路由的狀態(tài)。
- xfrm # 設(shè)置xfrm井仰。xfrm是一個IP框架埋嵌,可以轉(zhuǎn)換數(shù)據(jù)報的格式,如用某個算法對數(shù)據(jù)包進行加密糕档。
整個流程
策略路由流程圖
ipset
]# ipset -t list
Name: tj
Type: hash:net
Revision: 3
Header: family inet hashsize 1024 maxelem 65536
Size in memory: 25488
References: 1
...
]# ipset list tj
...
]# -exist 忽略錯誤
]# ipset create -exist bj hash:net maxelem 65536
]# ipset add bj xxx.xxx.xxx.xxx/24
]# 從文件添加
]# ipset restore -file xxx.list
]# 刪除
]# ipset del bj xxx.xxx.xxx.xxx/24
iptables
]# iptables -t mangle -S0xa 的標簽
]# # 匹配目的地址在 ipset bj 里的數(shù)據(jù)包莉恼,打上 0xa 的標簽
-A PRE20_ipset -m mark --mark 0x0 -m set --match-set bj dst -j MARK --set-xmark 0xa/0xffffffff
-A PRE20_ipset -m mark --mark 0x0 -m set --match-set cn dst -j MARK --set-xmark 0x96/0xffffffff
-A PRE30_ipset -m mark --mark 0x0 -m set --match-set vn dst -j MARK --set-xmark 0x38/0xffffffff
...
]#
iproute2
[root@ustack-taicangct29 ~]# ip rule list
]# # 把帶有 0xa 標簽的數(shù)據(jù)包,轉(zhuǎn)到 bj 路由表查找
...
2000: from all fwmark 0xa lookup bj
32766: from all lookup main
32767: from all lookup default
...
]# # bj 路由表只有一條, 通過 txbjgre 網(wǎng)卡接口出去
]# ip route show table bj
default dev txbjgre scope link
]#
]# ip route == ip route show table main
...
]#
