原文地址:ip rule 策略路由
欢迎参观我的网站:无敌牛 -- 技术/著作/典籍/分享等
ip rule 是 Linux 策略路由(Policy-based Routing, PBR) 的核心命令,用于控制内核在查找路由时使用哪张路由表。
一、ip rule 基本语法
ip rule [list|add|del] [selectors] [action]- selectors:匹配条件(如源 IP、入接口等)
- action :匹配后执行的动作(最常见的是
table N,即使用路由表 N)
二、ip rule add from <IP> table <N>
含义:
- 匹配源 IP 地址 为
<IP>的出站流量(即本机主动发出的数据包)。 - 当本机发送一个包,其源 IP 是
192.168.1.XX,则使用路由表<N>查找下一跳。
举例:
ip rule add from 192.168.1.XX table 100- 当你从本机执行
ping 8.8.8.8,且系统选择192.168.1.XX作为源 IP 时, - 内核会去查 路由表 100 ,而不是默认的
main表。
注意:
from只对本机发出的流量生效(OUTPUT 和转发流量中的源 IP 匹配)。- 对进入本机的流量 (如别人 ping 你)不生效。
三、ip rule add iif <interface> table <N>
含义:
- 匹配从指定接口进入(ingress interface)的流量。
- 通常用于转发流量 或响应入站请求的回包路径控制。
举例:
ip rule add iif eth1 table 200- 所有从
eth1接口进来的包(比如别人访问你 eth1 上的 IP), - 在决定如何回包时,会使用路由表 200 来查找出口。
注意:
iif lo是一个特例:本地进程通信(如curl http://127.0.0.1)也会触发iif lo规则。- 对于本机主动发起的连接 ,
iif通常是lo,而不是物理网卡。
四、其他常用 ip rule 匹配条件(selectors)
除了 from 和 iif,还有以下常用选项:
| 选项 | 说明 | 示例 |
|---|---|---|
to <IP> |
匹配目的 IP(出站或转发) | ip rule add to 10.0.0.5 table 10 |
oif <iface> |
匹配出站接口(较少用,因路由决定出口) | ip rule add oif eth0 table 20 |
fwmark <mark> |
匹配由 iptables/netfilter 打的标记 | ip rule add fwmark 0x10 table 30 |
priority <N> |
设置规则优先级(数值越小越先匹配) | ip rule add from 192.168.1.56 table 100 priority 1000 |
tos <TOS> |
匹配 IP 头中的 TOS 字段(已逐渐被 DSCP 取代) | ip rule add tos 0x10 table 40 |
protocol <proto> |
匹配路由协议(如 kernel, boot, static) | 较少用于策略路由 |
suppress_prefixlength <len> |
隐藏小于某前缀长度的路由(高级用法) | --- |
最常用的是:
from、to、iif、fwmark、priority
五、规则匹配顺序:priority(优先级)
- 所有规则按
priority从小到大匹配。 - 默认规则(如
0: from all lookup local)优先级为0、32766、32767。 - 自定义规则默认优先级是 自动分配 (通常从 32765 往下),但强烈建议显式指定。
查看当前规则及优先级:
ip rule show输出示例:
0: from all lookup local
1000: from 192.168.1.XX lookup 100
2000: iif eth1 lookup 200
32766: from all lookup main
32767: from all lookup default建议 :自定义规则用
priority 1000~10000之间,避免与系统规则冲突。
六、典型应用场景
场景 1:多出口(双 WAN)
ip rule add from 192.168.1.XX table wan1
ip rule add from 192.168.1.YY table wan2→ 不同 IP 走不同运营商线路。
场景 2:对称路由
ip rule add iif eth1 table 100 # 从 eth1 进来的,回包查表 100
ip route add default via 192.168.1.1 dev eth1 table 100→ 确保回包从原入口返回。
场景 3:基于应用标记路由(配合 iptables)
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 1
ip rule add fwmark 1 table https_route→ 所有 HTTPS 流量走特定路由。
七、注意事项
- 路由表必须存在 :
table N中的 N 必须在/etc/iproute2/rt_tables中定义(或直接用数字)。 - 规则不等于路由 :
ip rule只决定"查哪张表",表里必须有实际路由(ip route add ... table N)。 - 本地地址优先 :
local表(优先级 0)会优先处理本机 IP,所以from规则通常在local之后生效。 - 调试命令 :
ip route get 8.8.8.8 from 192.168.1.56 # 查看实际使用哪张表 ip rule show ip route show table 100
总结
| 选项 | 作用 | 适用流量方向 |
|---|---|---|
from <IP> |
按源 IP 选路由表 | 本机发出(OUTPUT) |
iif <iface> |
按入接口 选路由表 | 入站(INPUT/FORWARD) |
to <IP> |
按目的 IP 选路由表 | 所有方向 |
fwmark |
按防火墙标记选表 | 高级流量分类 |