在vtun配置的mangle链中有一条规则
-A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
下面分析mark何意。
mark值有何意义
mark字段的值是一个无符号的整数,在32位系统上最大可以是4294967296(就是2的32次方),这足够用的了。比如,我们对一个流或从某台机子发出的所有的包设置了mark值,就可以利用高级路由功能来对它们进行流量控制等操作了。
mark值不是包本身的一部分, 而是在包穿越计算机的过程中由内核分配的 和它相关联的一个字段 。它可能被用来改变包的传输路径或过滤。mark值只在本机有意义!
在本机给包设置关联的mark值后,可通过该值对包后续的传输进行控制(排队,流量控制等)。
如何设置mark
在 http://hi.baidu.com/zmhabc/item/04112b2f68f90c99b6326369 这篇文章中对mark的介绍比较详细。
例子:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
如何匹配mark
iptables -t mangle -A INPUT -m mark --mark 1
-m 即match匹配的意思。
mark的格式是 --mark value[/mask] ,如上面的例子是没有掩码的,带掩码的例子如 --mark 1/1 。如果指定了掩码,就先把mark值和掩码取逻辑与,然后再和包的mark值比较。
