迄今為止我們已經瞭解了iproute是如何工作的,並且多次提到了netfilter。 這裡,你正好可以趁機看一看Rusty出名地不可靠的指南. Netfilter本身可以在這裡找到。
Netfilter可以讓我們進行包過濾或者篡改資料包頭。 有一個特別的功能就是我們可以給資料包打上一個數位標記。 使用--set-mark機制就可以。
例如,這個命令把所有發往25/tcp(發出郵件)的資料包都打上了標記:
# iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 25 \
-j MARK --set-mark 1
比如說,11545.html">我們有多個連接,一個是按流量計費的,比較貴但是很快,另一個是包月的,但是比較慢。 我們當然願意讓發送電子郵件的資料包走那條比較便宜的路由。
我們已經給那些資料包打上了標記「1」,我們現在命令路由策略資料庫實現這個功能:
# echo 201 mail.out >> /etc/iproute2/rt_tables
# ip rule add fwmark 1 table mail.out
# ip rule ls
0: from all lookup local
32764: from all fwmark 1 lookup mail.out
32766: from all lookup main
32767: from all lookup default
現在我們建立一個通往那條便宜鏈路的路由,從而生成mail.out路由表:
# /sbin/ip route add default via 195.96.98.253 dev ppp0 table mail.out
這就做完了。 我們可能需要一些例外,有很多方法都能達到目的。 我們可以修改netfilter命令來排除一些主機,也可以插入一些優先權值更低的規則把需要排除的主機的資料包發往main路由表。
我們還可以通過識別資料包的TOS位,來給不同服務類型的資料包打上不同的標記,再為它們分別建立規則。 你甚至可以利用這種方法讓諸如ISDN線路支援交互業務。
不用說,這當然也可以用於正在進行NAT(「偽裝」)的機器上。
重要提醒:我們收到報告說MASQ和SNAT功能與資料包標記有衝突。 Rusty Russell在這個帖子中作瞭解釋。 關閉反方向的過濾就可以正常工作。
注意:想給資料包打標記的話,你的內和需要一些配置:
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) [Y/n/?]
IP: policy routing (CONFIG_IP_MULTIPLE_TABLES) [Y/n/?]
IP: use netfilter MARK HTTP://www.aliyun.com/zixun/aggregation/9541.html">value as routing key (CONFIG_IP_ROUTE_ FWMARK) [Y/n/?]
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
