使用 iptables 进行网络数据包处理与七层过滤
1. 使用 iptables 进行数据包修改
“数据包修改(Packet Mangling)”这个术语可能会让人误以为它带有恶意性质,但实际上并非如此。数据包修改指的是在路由过程前后,有意改变 IP 数据包头部数据的过程。不过,并非 IP 数据包头部的所有字段都能在 mangle 表中修改,而且也没必要修改所有字段。
在之前讨论的网络地址转换(NAT)中,我们可以通过修改 IP 头部的源 IP 地址和目标 IP 地址字段来“修改”数据包,这是 NAT 过程的一部分。使用 netfilter 的 mangle 表,我们还可以修改以下两个字段:
- TOS(Type Of Service):8 位的服务类型字段
- TTL(Time To Live):8 位的生存时间字段
此外,iptables 还能为 IP 数据包设置标记(nfmark),供 iproute2 进行源路由和流量控制(QoS)使用。这个内部标记不会改变 IP 数据包头部的任何字段。我们可以使用 iptables 中的 MARK 目标来设置 nfmark,它有三个选项:
root@router:~# iptables -j MARK --help … some lines missing … MARK target v1.3.1 options: --set-mark value Set nfmark value --and-mark value Binary AND the nfmark with val
