(原创)通过iptables与iproute2协同实现根据应用的策略路由

fushuyong

通过iptables与iproute2协同实现根据应用的策略路由
(简洁明了版本 前提 了解多路由表的概念 了解策略路由的概念 熟悉iptables和iproute2工具包)

    假设，网络中有两个外部接口，IP地址分别为eth0 172.16.1.1/24,eth1 10.0.0.1/24,连接内部网络的接口为eth2 192.168.1.1。现在设计这样一个策略，将所有来自内部网络的web服务的数据，走向172.16.1.1这个出口。其他的数据走向10.0.0.1 这个出口。
   
#接口设置
ifconfig eth0 172.16.1.1 netmask 255.255.255.0
ifconfig eth1 10.0.0.1 netmask 255.255.255.0
ifconfig eth2 192.168.1.1 netmask 255.255.255.0
echo 1 >;/proc/sys/net/ipv4/ip_forward

#将web服务类的数据包打上标示100
#这一步，很关键，用于实现策略路由的是iproute2工具包，但是iproute2工具包是无法根据端口来进行匹配的，因此，需要借助iptables来配合
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 100

#增加多路由表 假设172.16.1.1 这一出口的网关是172.16.1.254
ip route add 0/0 via 172.16.1.254 table 100

#设置路由策略 凡是数据包标记位上是100的数据，查询100号路由表
ip rule add fwmark 100 table 100

#NAT 如果需要的话，进行NAT 不需要的话，就直接路由
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE


     这篇帖子主要是说明了把iptables和iproute2协同以后可以做出很多很强的应用。你可以利用iptables强劲的对数据报的识别能力来将不同类型的数据包打上你自己定义的标示，然后利用iproute2的策略路由的功能来对路由进行人为的干预。
    如果你发现你对这篇帖子里写的东西不是很清楚，但是却又对这一应用很感兴趣，那么，欢迎跟我取得联系。

fushuyong

顶一下，只是希望能有更多的人能看到这篇帖子。

fushuyong

呵呵，还是只有我一个人回，还好版主给我加了精华。谢谢版主。2004年我来论坛来得少，2005年里我决定来论坛写点东西，零散的东西就不写了，争取发出来的帖子就能加精华，主要的目的只有一个，希望别人看了我的帖子以后觉得实用，觉得有用，觉得能用，这我就很开心了。

零二年的夏天

很感谢朋友的分享精神。
也欢迎大家把好的经验体会与大家分享。

blue_stone

帖子不错，感谢楼主，如果我想让一个数据包走那里近就走那里，该怎么实现？

fushuyong

走哪里近就走哪里？是完全动态的吗？这个需要你预先规划好策略，策略可能比较复杂。如果需要做到完全动态的话，那可能要自己做下二次开发。

imtj

非常不错,这样一来就很容易实现硬件路由器才能够实现的流量均衡了，谢谢分享！

skylove

用iproute2的ip from 和 ip to 就可以独立完成的，可以不用iptables打标签

fushuyong

ip from 和ip to 只能实现源地址和目的地址策略吧 ，只能到IP这一层无法到端口这一层吧？

skylove

的确是无法到端口，如果需要指定端口，那么是需要用你的方法，让iptables做标记的