mangle表

mangle表

mangle表的主要功能是根据规则修改数据包的一些标记位，以便其他规则或程序利用这些标记对数据包进行过滤或策略路由。

例子：

内网的客户机通过Linux主机连入Internet，而Linux主机与Internet连接时有两条线路，它们的网关如图所示。

现要求对内网进行策略路由：1.所有通过TCP协议访问80端口的数据包都从ChinaNet线路出去，2.所有访问UDP协议53号端口的数据包都从Cernet线路出去。

这是一个策略路由的问题，为了达到目的，需要在数据包进行路由前，根据数据包的协议和目的端口给数据包做上标记。然后指定相应规则，根据数据包的标志进行策略路由

为了给特定的数据包做上标志，需要使用mangle表，由于需要在路由选择前做标志，所以使用PREROUTING链

# 所有经过eth0接口，访问TCP80端口的包，打上标记1
iptables -t mangle -A PREROUTING -i eth0 -p tcp  --dport 80 -j MARK --set-mark 1  
# 所有经过eth0接口，访问UDP53端口的包，打上标记2
iptables -t mangle -A PREROUTING -i eth0 -p udp --dprot 53 -j MARK --set-mark 2

数据包经过PREROUTING链后，将要进入路由选择模块，（路由前的后边当然是路由了）为了对其进行策略路由，添加相应的规则

# 所有标记为1的数据包使用10路由表
ip rule add from all fwmark 1 table 10  
# 所有标记为2的数据包使用20路由表
ip rule add from all fwmark 2 table 20

相对应的应当设置，路由表10的默认网关为ChinaNet,路由表20的默认网关为Cernet

# 设置路由表10的默认网关为10.10.1.1，走eth1接口
ip route add default via 10.10.1.1 dev eth1 table 10       # default 默认网关  via 表示经过
# 设置路由表20的默认网关为10.10.2.1，走eth2接口
ip route add default via 10.10.2.1 dev eth2 table 20