rnic_acl使用说明
ACL配置工具(rnic_acl)
五元组,特指源IP、目的IP、源端口、目的端口、协议号。
【提示】其中源/目的端口,只支持TCP/UDP协议。
特点
- 支持变长掩码,IPv4掩码范围为 832,IPv6为1128;
- 支持IP范围配置;
- 支持端口范围配置;
- 支持五元组的任意组合。
优先级(数值越大,优先级越高)
| 类型 | 优先级 | ||||
| 源/目的ip(即掩码为32) | 32 | ||||
| 源/目的端口 | 3 | ||||
| 协议号 | 1 | ||||
| 源/目的ip/mask | mask(8~32) | ||||
| ip范围 | 可以转换为 ip/mask,并且 mask ≥ 8 | mask(8~32) | |||
| 其他情况 | 32 | ||||
注意事项
- 优先级冲突时,rule_id小的优先命中
- 数据包长度(plen)、入接口(in-interface)、出接口(out-interface)等不参与优先级运算
- 单端口规则
定义:五元组规则只包含了源端口[+TCP/UDP]或者只包含了目的端口[+TCP/UDP]。
注意点:
1)单端口规则必须互斥(即不允许交叉、重叠规则的下发)。
2)源端口规则优先级总是高于目的端口规则。 - IP范围可转换为ip/mask的格式为“min(网络地址):max(广播地址)”
- 掩码31强制修正为32
示例
- 目的端口范围规则
./rnic_acl -I -r 4 --dport 80~1000 -j accept
说明:未明确协议号的端口规则,协议号视为TCP+UDP
- ip/mask 规则
./rnic_acl -I -r 5 -s 192.168.0.0/15 -j accept
- ip范围规则
./rnic_acl -I -r 6 -s 192.168.8.100~192.168.8.102 -j accept
- ip范围,目的端口范围规则
./rnic_acl -I -r 7 -s 192.168.8.100~192.168.8.102 --dport 80~2000 -j accept
- 源ip,目的ip规则
./rnic_acl -I -r 8 -s 192.168.8.101 -d 119.75.222.48 -j accept
- 源ip,目的ip,源端口,协议号规则
./rnic_acl -I -r 9 -s 192.168.8.101 -d 119.75.222.48 --sport 50674 -p tcp -j accept