基于策略的路由比傳統路由更強大，使用更靈活，它使網絡管理者不僅能夠根據目的地址而且能夠根據報文大小、應用或IP源地址來選擇轉發路徑。在現實的網絡應用中，這種選擇的自由性還是很需要的。而Linux從2.1版本的內核開始就實現了對策略路由的支持，下面就介紹一個配置實例，以期對讀者有所幫助。

　　實例背景

　　如圖所示，兩個內部網通過遠端路由器1與因特網相聯，通過遠端路由器2與上級網相聯， Linux服務器做策略路由器，內有4塊網卡。IP地址的分配情況如表所示。

　　在應用需求方面，內網1允許通過遠端路由器1(172.22.254.254)連接因特網，但只允許Http協議、Ftp協議經常性通過，其他協議分時間段開放(這樣做是為了避免員工在上班時間打網絡游戲和聊天)，例如在上班時間(7:30～16:30)封閉，在下班時間(16:30～7:30)和周六、日全天開放。而且，內網1無權訪問內網2及上級網，但可以訪問內網2上的服務器。而允許內網2訪問外網，上級網則只能訪問內網2上的192.168.1.2服務器。而防火墻主要用來阻止外網主動訪問內網，防止網絡攻擊。

　　實現過程

　　這里我們選擇Red Hat Enterprise Linux WS 3操作系統，其內核版本是2.4.21，對策略路由已經有了很好的支持，下面的配置也以此為基礎。

　　1.設置IP地址

　　首先，執行如下命令：

　　ifconfig eth0 10.89.9.1 netmask 255.255.255.0

　　ifconfig eth1 192.168.1.1 netmask 255.255.255.0

　　ifconfig eth2 172.22.254.14 netmask 255.255.255.0

　　ifconfig eth3 10.140.133.14 netmask 255.255.255.0

　　為了讓計算機啟動時自動設置IP地址，還需要分別修改/etc/sysconfig/network-scripts/下的四個文件：ifcfg-eth0、ifcfg-eth1、ifcfg-eth2、ifcfg-eth3，將ONBOOT屬性設為yes，即“ONBOOT=yes”，文件格式如下：

　　# Intel Corp.　82545EM Gigabit Ethernet Controller (Copper)

　　DEVICE=eth0

　　BOOTPROTO=none

　　HWADDR=00:0c:76:20:54:71

　　ONBOOT=yes

　　TYPE=Ethernet

　　USERCTL=yes

#p#副標題#e#

　　2.添加路由

 

　　執行如下命令：

　　ip route add default via 10.89.9.1 table int1

　　ip route add default via 192.168.1.1 table int2

　　ip route add default via 172.22.254.254 table int3

　　ip route add 192.168.0.0/16 via 10.140.133.254 table int4

　　ip route add default via 172.22.254.254 table int4

　　這里在int4路由表中添加了兩條路由，當進入到該路由表之后，要到192.168.0.0/16的數據包則路由到10.140.133.254，其他數據包則路由到172.22.254.254。

　　3.標記(MARK)特殊包

　　執行如下兩條命令：

　　iptables -t mangle -A PREROUTING -p tcp -m multiport --dports 80,8080,20,21 -s 10.89.9.0/24 -j MARK --set-mark 1

　　iptables -t mangle -A PREROUTING -p udp --dport 53 -s 10.89.9.0/24 -j MARK --set-mark 2

　　這兩條命令是將來自10.89.9.0/24的目的端口是80、8080、20或21的數據包和UDP端口是53的數據包分別標記為1或2，然后就可以針對這些標記過的數據包制定相應的規則了。(對外發出的DNS請求用的是UDP 53端口)

　　為了實現防火墻的功能，只允許已經建立聯機的數據包進入內網，就要把進入兩個內網的已經建立聯機的數據包進行標記。執行如下命令：

　　iptables -t mangle -A PREROUTING -p ALL -d 10.89.9.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 3

　　iptables -t mangle -A PREROUTING -p ALL -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 4

#p#副標題#e#

　　4.創建路由規則

 

　　執行如下命令：

　　ip rule add from 192.168.1.0/24 pref 11 table int4

　　ip rule add to 192.168.1.2 pref 21 table int2

　　ip rule add fwmark 4 pref 31 table int2

　　ip rule add fwmark 1 pref 41 table int3

　　ip rule add fwmark 2 pref 42 table int3

　　ip rule add fwmark 3 pref 51 table int1

　　接著執行命令“ip route flush cache”，刷新路由緩沖，讓以上的這些命令立刻生效，否則需要等上一段時間。

　　5.實現分時間段控制

　　若是按照以上的配置，內網1的用戶只能上網瀏覽網頁和下載，為了對其他功能實現分時間段開放，需要做以下工作：

　　首先編輯命令腳本文件ropen (開放)和rclose (限制)。執行命令“vi /bin/ropen”，ropen文件內容如下：

　　/sbin/ip rule add from 10.89.9.0/24 pref 40 table int3

　　/sbin/ip route flush cache

　　執行命令“vi /bin/rclose”，rclose文件內容如下：

　　/sbin/ip rule del from 10.89.9.0/24 pref 40

　　/sbin/ip route flush cache

　　如果不習慣命令行方式，也可以在圖形界面下生成這兩個文件，生成文件之后，需要增加可執行屬性方可執行：分別執行命令“chmod +x ropen”和“chmod +x rclose”。

　　接著，利用crontab命令實現自動運行。這里需要編輯一個文本文件，格式如下：

　　minute hour dayofmonth monthofyear dayofweek “命令”

　　其中每部分名稱及取值范圍是：minute代表分鐘，取值范圍是00～59;hour代表小時，取值范圍是00～23;dayofmonth代表某天，取值范圍是01～31;monthofyear代表月份，取值范圍是01～12;dayofweek代表星期，取值范圍是01～07。若需要忽略其中某一部分就用星號(*)代替。例如，文件名設為mycron，內容可編輯如下：

　　30 07 * * 01,02,03,04,05 "/bin/ropen"

　　30 16 * * 01,02,03,04,05 "/bin/rclose"

　　最后執行crontab命令，將所編輯的文件mycron裝載并啟動，命令為“crontab mycron”。