一、
如 果在子链中被ACCEPT了,也就相当于在父链中被ACCEPT了,那么它不会再经过父链中的其他规则
1.-m mark --mark用来匹配的
iptables -t mangle -A INPUT -m mark --mark 1
2.MARK target
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
设置mark值,这个值是一个无符号的整数。比如,我们对一 个流或从某台机子发出的所有的包设置了mark值,就可以利用高级路由功能来对它们进行流量控制等操作 了。
二、Metric:
为路由指定所需跃点数的整数值(范围是 1 ~ 9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。
Metric的值越小,优先级越高
如果两块网卡的Metric的值相同,就会出现抢占优先级继而网卡冲突,将会有一块网卡无法连接
三、SCOPE := [ host | link | global | NUMBER ]
Scope分为两种:路由的Scope 和 IP地址的Scope
路由的Scope:表示到目的网络的距离。
IP地址的Scope: 表示该IP地址到达本地主机有多远。
路由常用的Scope
主机: 路由表示的目的地址为本地主机。
链路:路由表示的目的地址为本地网络。
全域:路由表示的目的地址超过一个下一跳
scope的介绍:https://blog.csdn.net/windeal3203/article/details/46731615
四:proto kernel
暂时未查到具体的描述,自己理解的是:路由协议在linux内核传递
RTPROTO := [ kernel | boot | static | NUMBER ]
五、weight
weight为每一个下一跳分配一个权值,下一跳被选择的次数与其权值对所有其他下一跳的权值成正比,如果所有的
下一跳分配的权值相同,那么该算法就成为等价多路径算法;---摘自linux网络技术内幕,第三十一章813页
六、realms:暂未理解
源realm是可选的,目的realm是不可选的,如果配置realms的话----819页
七、route关键字表示配置路由,rule关键字表示配置策略
八、ip route的help
root@hi-wooya:/# ip route help
Usage: ip route { list | flush } SELECTOR
ip route save SELECTOR
ip route restore
ip route showdump
ip route get ADDRESS [ from ADDRESS iif STRING ]
[ oif STRING ] [ tos TOS ]
[ mark NUMBER ]
ip route { add | del | change | append | replace } ROUTE
SELECTOR := [ root PREFIX ] [ match PREFIX ] [ exact PREFIX ]
[ table TABLE_ID ] [ proto RTPROTO ]
[ type TYPE ] [ scope SCOPE ]
ROUTE := NODE_SPEC [ INFO_SPEC ]
NODE_SPEC := [ TYPE ] PREFIX [ tos TOS ]
[ table TABLE_ID ] [ proto RTPROTO ]
[ scope SCOPE ] [ metric METRIC ]
INFO_SPEC := NH OPTIONS FLAGS [ nexthop NH ]...
NH := [ via ADDRESS ] [ dev STRING ] [ weight NUMBER ] NHFLAGS
OPTIONS := FLAGS [ mtu NUMBER ] [ advmss NUMBER ]
[ rtt TIME ] [ rttvar TIME ] [ reordering NUMBER ]
[ window NUMBER] [ cwnd NUMBER ] [ initcwnd NUMBER ]
[ ssthresh NUMBER ] [ realms REALM ] [ src ADDRESS ]
[ rto_min TIME ] [ hoplimit NUMBER ] [ initrwnd NUMBER ]
[ features FEATURES ] [ quickack BOOL ] [ congctl NAME ]
TYPE := [ unicast | local | broadcast | multicast | throw |
unreachable | prohibit | blackhole | nat ]
TABLE_ID := [ local | main | default | all | NUMBER ]
SCOPE := [ host | link | global | NUMBER ]
NHFLAGS := [ onlink | pervasive ]
RTPROTO := [ kernel | boot | static | NUMBER ]
TIME := NUMBER[s|ms]
BOOL := [1|0]
FEATURES := ecn
root@hi-wooya:/#
1.http://blog.chinaunix.net/uid-20786208-id-5151809.html(很详细的例子)
2.http://blog.sina.com.cn/s/blog_69877bc00100tik5.html
https://blog.csdn.net/bytxl/article/details/44855521