Pf route-to
позволяет определять политику -маршрутизацию на основе (PBR)с использованием того же набора правил брандмауэра . Затем сам PBR выполняется на уровне ядра -во время обработки трафика в соответствии с набором правил брандмауэра, доставленным на уровень ядра pf
пользовательской -космической утилитой pfctl
.
В Linux Netfilter (, который многие люди ошибочно называют iptables
по имени его основной управляющей утилиты ), не имеет функциональности PBR, за исключением того, что его по-прежнему можно использовать для изменения/назначения «меток» 1 , которые правила PBR 2 могут использовать в дополнение к другим "селекторам".
__
man iptables-extensions
отрывок:MARK — This target is used to set the Netfilter mark value associated with the packet. It can, for example, be used in conjunction with routing based on fwmark (needs iproute2). If you plan on doing so, note that the mark needs to be set in the PREROUTING chain of the mangle table to affect routing. The mark field is 32 bits wide.
ip
(этого "iproute2" )обычно используется для этого:ip rule …