Iptables數據包、鏈接標記模塊MARK/CONNMARK使用

原始出處： http://www.aikaiyuan.com/10387.html

MARK標記用於將特定的數據包打上標籤，供Iptables配合TC作QOS流量限制或應用策略路由。
看看和MARK相關的有哪些模塊：

1. ls /usr/lib/iptables/|grep -i mark

2. libxt_CONNMARK.so

3. libxt_MARK.so

4. libxt_connmark.so

5. libxt_mark.so

其中大寫的爲標記模塊，小寫的爲匹配模塊，它們之間是相輔相成的，分別做用以下：

1. #http://www.aikaiyyuan.com/

2. iptables -j MARK --help

3. --set-mark #標記數據包

4. iptables -t mangle -A PREROUTING -p tcp -j MARK --set-mark 1

5. #全部TCP數據標記1

6. iptables -m mark --help

7. --mark value #匹配數據包的MARK標記

8. iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK --save-mark

9. #匹配標記1的數據並保存數據包中的MARK到鏈接中

10. iptables -j CONNMARK --help

11. --set-mark #標記鏈接

12. --save-mark #保存數據包中的MARK到鏈接中

13. --restore-mark #將鏈接中的MARK設置到同一鏈接的其它數據包中

14. iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --set-mark 1

15. iptables -m connmark --help

16. --mark value #匹配鏈接的MARK的標記

17. iptables -t mangle -A PREROUTING -p tcp -m connmark --mark 1 -j CONNMARK --restore-mark

18. #匹配鏈接標記1並將鏈接中的標記設置到數據包中