为什么打了fwmark标记但却不起作用呢【已解决】

jiufei19

回复 6# phanx


   也请phanx看看我自己找到的这个答案是否正确，谢谢！

phanx

回复 11# jiufei19


    是的，你是正确的。 我做了个TRACE

[root@testhost ~]# modprobe ipt_LOG
[root@testhost ~]# iptables -t raw -A PREROUTING --dst 10.0.0.222 -j TRACE
[root@testhost ~]# iptables -L -v -n -t raw
Chain PREROUTING (policy ACCEPT 6324 packets, 1112K bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 TRACE      all  --  *      *       0.0.0.0/0                10.0.0.222        

Chain OUTPUT (policy ACCEPT 395 packets, 104K bytes)
pkts bytes target     prot opt in     out     source               destination         
   22  5026 TRACE      tcp  --  *      *       0.0.0.0/0            10.0.0.222        tcp spt:22

下面是TRACE结果

[root@testhost ~]#cat /var/log/message
testhost kernel: TRACE: raw:OUTPUT:rule:2 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0
testhost kernel: TRACE: raw:OUTPUT:policy:3 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0
testhost kernel: TRACE: mangle:OUTPUT:rule:1 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0
testhost kernel: output IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 WINDOW=14600 RES=0x00 ACK SYN URGP=0
testhost kernel: TRACE: mangle:OUTPUT:rule:3 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0
testhost kernel: TRACE: mangle:OUTPUT:rule:4 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0 MARK=0x64
testhost kernel: TRACE: mangle:OUTPUT:policy:5 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0 MARK=0x64
testhost kernel: TRACE: filter:OUTPUT:policy:1 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0 MARK=0x64
testhost kernel: TRACE: mangle: POSTROUTING:policy:1 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=52 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269519 ACK=1766750704 WINDOW=14600 RES=0x00 ACK SYN URGP=0 OPT (020405B40101040201030307) UID=0 GID=0 MARK=0x64
testhost kernel: TRACE: raw:OUTPUT:rule:2 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=35912 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269520 ACK=1766750755 WINDOW=115 RES=0x00 ACK URGP=0
testhost kernel: TRACE: raw:OUTPUT:policy:3 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=35912 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269520 ACK=1766750755 WINDOW=115 RES=0x00 ACK URGP=0
testhost kernel: TRACE: mangle:OUTPUT:rule:1 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=35912 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269520 ACK=1766750755 WINDOW=115 RES=0x00 ACK URGP=0
testhost kernel: output IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=35912 DF PROTO=TCP SPT=22 DPT=51680 WINDOW=115 RES=0x00 ACK URGP=0
testhost kernel: TRACE: mangle:OUTPUT:rule:3 IN= OUT=em1 SRC=192.168.1.111 DST=10.0.0.222 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=35912 DF PROTO=TCP SPT=22 DPT=51680 SEQ=669269520 ACK=1766750755 WINDOW=115 RES=0x00 ACK URGP=0

看到的情况也跟你的得出的结论是一致的。
本机主动发出的包，只会从OUTPUT Chain出去。由于OUTPUT在路由之后，所以就算设置了MARK也不能再匹配路由规则了。如果是转发报文，那么在IN的时候可以在PREROUTING上set mark。这个时候应该就可以匹配到对应的路由规则了。

在default 路由表没有到10.0.0.222的路由，只有table 100 有到10.0.0.222的路由的时候，根本不会有任何输出，直接是路由不可达，证明了确实是先选路由。

q1208c

回复 10# jiufei19

看来, 你需要一个新的方式来处理你的问题了.
   

jiufei19

回复 12# phanx


    感谢phanx的热心答复

jiufei19

回复 13# q1208c


    谢谢q1208c，的确需要其他方法来处理我这里的特殊问题。不过现在很郁闷，因为default路由已经被用过了，不可能再来一个“特殊的default”应对我这里的情况，我本来寄托希望在fwmark上作文章，哪晓得fwmark在路由后。

    我好奇的是为啥linux内核不在本机发出数据的函数代码中直接增加一句NF_HOOK（PREROUTING），这样不就非常灵活了吗

q1208c

回复 15# jiufei19

我也不知道 kernel 为啥不这么做

或许 DNAT 能满足你的要求.

你把进来的 端口为 22 的包 DNAT 到另一个 IP, 然后就不用mark都会走新的路由了.
   

jiufei19

回复 16# q1208c


    但是没有其他ip了

q1208c

回复 17# jiufei19

在你本机上, 随便绑定一个IP就可以了. 反正DNAT之后, 你还需要一个 SNAT.
   

jiufei19

回复 18# q1208c


    我没有太明天你的意思呢，我现在的问题是外出报文如何使用策略路由的问题，即便绑定了另外一个ip，又怎么能做到外出报文在打了fwmark后可以再次路由？

q1208c

回复 19# jiufei19

因为有DNAT, 所以, 它必须经过INPUT, 而不是直接去到 OUTPUT.