From 9ce61d6dbb2dd971929aebdbdfee99beb0dc958b Mon Sep 17 00:00:00 2001
From: "Jack.A.Black" <33801210+JackABlack@users.noreply.github.com>
Date: Sun, 21 Feb 2021 17:41:19 +0800
Subject: [PATCH] Update iptables.md

ref. https://blog.siphos.be/2013/05/secmark-and-selinux/
---
 command/iptables.md | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/command/iptables.md b/command/iptables.md
index 0f141823b1..bac98aba2a 100644
--- a/command/iptables.md
+++ b/command/iptables.md
@@ -154,6 +154,7 @@ iptables还支持自己定义链。但是自己定义的链，必须是跟某种
 - **DNAT** ：目标地址转换。
 - **MASQUERADE** ：IP伪装（NAT），用于ADSL。
 - **LOG** ：日志记录。
+- **SEMARK** : 添加SEMARK标记以供网域内强制访问控制（MAC）
 
 ```shell
                              ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
@@ -390,6 +391,12 @@ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd
 iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
 ```
 
+#### 添加SECMARK记录
+```shell
+iptables -t mangle -A INPUT -p tcp --src 192.168.1.2 --dport 443 -j SECMARK --selctx system_u:object_r:myauth_packet_t
+# 向从 192.168.1.2:443 以TCP方式发出到本机的包添加MAC安全上下文 system_u:object_r:myauth_packet_t
+```
+
 ## 更多实例
 > 用iptables搭建一套强大的安全防护盾 http://www.imooc.com/learn/389