iptables -t mangle -A PREROUTING -p udp --dport 53 -s 10.89.9.0/24 -j MARK --set-mark 2

这两条命令是将来自10.89.9.0/24的目的端口是80、8080、20或21的数据包和UDP端口是53的数据包分别标记为1或2，然后就可以针对这些标记过的数据包制定相应的规则了。（对外发出的DNS请求用的是UDP 53端口）

为了实现防火墙的功能，只允许已经建立联机的数据包进入内网，就要把进入两个内网的已经建立联机的数据包进行标记。执行如下命令：

iptables -t mangle -A PREROUTING -p ALL -d 10.89.9.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -p ALL -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 4

6．创建路由规则

执行如下命令：

ip rule add from 192.168.1.0/24 pref 11 table int4

ip rule add to 192.168.1.2 pref 21 table int2

ip rule add fwmark 4 pref 31 table int2

ip rule add fwmark 1 pref 41 table int3

ip rule add fwmark 2 pref 42 table int3

ip rule add fwmark 3 pref 51 table int1

接着执行命令“ip route flush cache”，刷新路由缓冲，让以上的这些命令立刻生效，否则需要等上一段时间。

7．实现分时间段控制

若是按照以上的配置，内网1的用户只能上网浏览网页和下载，为了对其他功能实现分时间段开放，需要做以下工作：

首先编辑命令脚本文件ropen (开放)和rclose (限制)。执行命令“vi /bin/ropen”，ropen文件内容如下：

/sbin/ip rule add from 10.89.9.0/24 pref 40 table int3

/sbin/ip route flush cache

执行命令“vi /bin/rclose”，rclose文件内容如下：

/sbin/ip rule del from 10.89.9.0/24 pref 40

/sbin/ip route flush cache

如果不习惯命令行方式，也可以在图形界面下生成这两个文件，生成文件之后，需要增加可执行属性方可执行：分别执行命令“chmod +x ropen”和“chmod +x rclose”。

接着，利用crontab命令实现自动运行。这里需要编辑一个文本文件，格式如下：

minute hour dayofmonth monthofyear dayofweek “命令”

其中每部分名称及取值范围是：minute代表分钟，取值范围是00～59；hour代表小时，取值范围是00～23；dayofmonth代表某天，取值范围是01～31；monthofyear代表月份，取值范围是01～12；dayofweek代表星期，取值范围是01～07。若需要忽略其中某一部分就用星号（*）代替。例如，文件名设为mycron，内容可编辑如下：

30 07 * * 01,02,03,04,05 "/bin/ropen"

30 16 * * 01,02,03,04,05 "/bin/rclose"

最后执行crontab命令，将所编辑的文件mycron装载并启动，命令为“crontab mycron”。