Update iptables.md

ref. https://blog.siphos.be/2013/05/secmark-and-selinux/
2021-02-21 17:41:19 +08:00 · 2021-02-21 17:41:19 +08:00 · 9ce61d6dbb
parent 0c35f7dbb7
commit 9ce61d6dbb
1 changed files with 7 additions and 0 deletions
--- a/command/iptables.md
+++ b/command/iptables.md
@ -154,6 +154,7 @@ iptables还支持自己定义链。但是自己定义的链，必须是跟某种
 - **DNAT** ：目标地址转换。
 - **MASQUERADE** ：IP伪装（NAT），用于ADSL。
 - **LOG** ：日志记录。
+- **SEMARK** : 添加SEMARK标记以供网域内强制访问控制（MAC）

 ```shell
                             ┏╍╍╍╍╍╍╍╍╍╍╍╍╍╍╍┓
@ -390,6 +391,12 @@ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd
 iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
 ```

+#### 添加SECMARK记录
+```shell
+iptables -t mangle -A INPUT -p tcp --src 192.168.1.2 --dport 443 -j SECMARK --selctx system_u:object_r:myauth_packet_t
+# 向从 192.168.1.2:443 以TCP方式发出到本机的包添加MAC安全上下文 system_u:object_r:myauth_packet_t
+```
+
 ## 更多实例
 > 用iptables搭建一套强大的安全防护盾 http://www.imooc.com/learn/389