iptables --set-mark - विभिन्न इंटरफेस के माध्यम से अलग-अलग बंदरगाहों को रूट करें


16

लघु कहानी,
3 इंटरफेस, eth0 (LAN), eth1 (ADSL), eth2 (4G)।
eth0 -> eth1: वर्क्स
(पोर्ट्स 80, 443, 4070) eth0 -> eth2: नहीं होता है


यह विचार का एक चित्रमय प्रतिनिधित्व है:

Port 80 & 443 eth2 के
माध्यम से बाकी eth1 के माध्यम से
यहाँ छवि विवरण दर्ज करें

Netscheme:

eth0: -ip 10.0.0.1 -net 10.0.0.0/8 -gw 10.0.0.1 (the servers own intf) 
eth1: -ip 192.168.1.74 -net 192.168.1.0/24 -gw 192.168.1.254 
eth2: -ip 192.168.1.91 -net 192.168.0.0/24 -gw 192.168.0.1 






मुझे लगता है कि यह नई पटकथा २२ और ४० to० को उचित तालिका में पुन: पेश करती है।
हालाँकि, उस तालिका में जाने के बाद, यह eth2 में फिर से नहीं मिलता है।




यह स्क्रिप्ट 22 और 4070 को छोड़कर काम करती है!

(पोर्ट 80 बिना टिप्पणी के है और यह काम करता है लेकिन eth1 के माध्यम से जो गलत है।)

modprobe iptable_nat
modprobe ip_conntrack

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -F PREROUTING
iptables -t nat -F
iptables -t mangle -F
iptables -F
# This next line restores any issues trying to connect to something
# if you get weird ACK packets when trying to connect (at least i did)!
iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
ip route flush table main

iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 22 -j MARK --set-mark 1
###  iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 80 -j MARK --set-mark 1
iptables -A PREROUTING -i eth0 -t mangle -p tcp --dport 4070 -j MARK --set-mark 1

## Setup routes
# LAN
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0
# ADSL
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
# 4G (Only accessible if marking packages with \x01
route add -net 192.168.0.0 netmask 255.255.255.0 dev eth2
# Default via ADSL
## -- Does the same as ip route below? route add default gw 192.168.1.254


echo "201 eth2.out" >> /etc/iproute2/rt_tables

ip rule add fwmark 1 table eth2.out
ip route add default via 192.168.0.1 dev eth2 table eth2.out
ip route add default via 192.168.1.254 dev eth1



## Setup forwards
# From 4G to LAN
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# From ADSL to LAN
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# From LAN to ADSL (Default route out)
# - Note: If marked packages is sent to ADSL they will be mangled and rerouted to 4G
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE









पुरानी लिपि:


  Ignore everything below unless you're interested in retracing my steps!!




मैंने कुछ बुरा करने की स्थिति में अपने वातावरण को सेट करने के लिए एक राउटर.शि स्क्रिप्ट बनाई है। मुझे 3 पोर्ट मिले हैं, जिन्हें मैं 4 जी कनेक्शन और बाकी को लैंडलाइन एडीएसएल कनेक्शन के माध्यम से भेजना चाहता हूं। ऐसा करने के लिए, मैंने iptables को निर्देश दिया है कि वे डिफ़ॉल्ट मार्ग पर संकुल को मंगाएँ और उन्हें अपने 4 जी इंटरफ़ेस के माध्यम से भेजें - अगर - dport == 443 | 80 | 4070

हालाँकि, यह काम नहीं करता है; मैं अभी भी मेरे लैंडलाइन के माध्यम से रूट किया जा रहा हूं चाहे कोई भी हो।

यह मेरी स्क्रिप्ट जैसा दिखता है:

#!/bin/bash

## routing tables
# wireless = 4G via eth2
# adsl = adsl via eth1

modprobe iptable_nat
modprobe ip_conntrack

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F
ip route flush table main
ip route flush table wireless
ip route flush table adsl

## Setup routing tables
# ADSL
ip route add table adsl to 192.168.1.0/24 dev eth1
# 4G
ip route add table wireless to 192.168.0.0 dev eth2
ip rule add fwmark 0x1 table wireless

## Setup routes
# LAN
route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0
# ADSL
route add -net 192.168.1.0 netmask 255.255.255.0 dev eth1
# 4G (Only accessible if marking packages with \x01
route add -net 192.168.0.0 netmask 255.255.255.0 dev eth2
# Default via ADSL
route add default gw 192.168.1.254


## Forward ports into the LAN
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 10.0.0.3:80


## Lets mark all packets we want for 4G forward
# HTTPS
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1
# HTTP
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 80 -j MARK --set-mark 1
# Spotify
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 4070 -j MARK --set-mark 1

## Setup forwards
# From 4G to LAN
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
# From ADSL to LAN
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# From LAN to ADSL (Default route out)
# - Note: If marked packages is sent to ADSL they will be mangled and rerouted to 4G
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -j LOG
#iptables --table nat --append POSTROUTING --out-interface eth2 --jump SNAT --to-source "192.168.1.74"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

मैंने इन 3 को स्क्रिप्ट के निचले भाग में जोड़ने की कोशिश की है:

iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 80 -j SNAT --to "192.168.0.91"
iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 443 -j SNAT --to "192.168.0.91"
iptables -t nat -A POSTROUTING -o eth2 -p tcp --dport 4070 -j SNAT --to "192.168.0.91"

सफलता के बिना भी कोशिश की:

iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 80 -j MARK --set-mark 1

अंतिम लेकिन कम से कम, आजमाया नहीं:

## Lets mark all packets we want for 4G forward
# HTTPS
iptables -A POSTROUTING -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1
# HTTP
iptables -A POSTROUTING -t mangle -o eth1 -p tcp --dport 80 -j MARK --set-mark 1
# Spotify
iptables -A POSTROUTING -t mangle -o eth1 -p tcp --dport 4070 -j MARK --set-mark 1

रूटिंग काम करता है, मैं वेब ब्राउज़ कर सकता हूं, संगीत सुन सकता हूं और क्या नहीं, लेकिन मैं इसे गलत इंटरफेस के माध्यम से कर रहा हूं। मैंने काफी देर तक चारों ओर गुगली की है और बिट्स और टुकड़ों को समझने के लिए कि मैं क्या कर रहा हूं और क्यों कर रहा हूं। मैं tc के माध्यम से ट्रैफ़िक को आकार देने का काम कर सकता था, लेकिन अगर यह संभव है कि iptables में पैकेजिंग के माध्यम से यह मुझे एक लंबा रास्ता तय करने में मदद करे।

मेरा अनुमान है कि मैं विभिन्न नियमों पर आदेश को गलत कर रहा हूं, मुख्य रूप से MASQUERADE भाग? या अगर वहाँ भी होना चाहिए?

क्या कोई समझा सकता है कि DNAT पोर्ट कैसे कहता है, tcp: 80 एक बाहरी इंटरफ़ेस (या तो एक या दोनों प्रोटोकॉल) से आंतरिक 10.0.0.0 पता स्थान तक?



आउटपुट:

root@Netbridge:~# route -n Kernel IP routing table Destination    

Gateway         Genmask         Flags Metric Ref    Use Iface<br>
0.0.0.0         192.168.1.254   0.0.0.0         UG    0      0        0 eth1<br>
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0<br>
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth2<br>
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1


root@Netbridge:~# ifconfig

eth0      Link encap:Ethernet  HWaddr 00:0c:29:7e:9e:4e  
          inet addr:10.0.0.1  Bcast:10.255.255.255  Mask:255.0.0.0

eth1      Link encap:Ethernet  HWaddr 00:0c:29:7e:9e:58  
          inet addr:192.168.1.74  Bcast:192.168.1.255  Mask:255.255.255.0

eth2      Link encap:Ethernet  HWaddr 00:0c:29:7e:9e:62  
          inet addr:192.168.0.91  Bcast:192.168.0.255  Mask:255.255.255.0

इन निर्देशों का पालन किया: कुछ अन्य संबंधित थ्रेड्स के बीच
आउटपुट-ट्रैफ़िक-ऑन-अलग-अलग-इंटरफेस-आधारित-ऑन-
डेस्ट- पोर iptables-फारवर्ड-विशिष्ट-पोर्ट-टू-स्पेसिफिक-निक


मुझे खेद है, लेकिन क्या केवल इंटरफ़ेस localhostके पते पर और अपाचे को न बांधने का एक कारण है eth2?
जन मारेक

@JanMarek: यहां अपाचे का कोई उल्लेख नहीं है। और आपकी जानकारी के लिए, एक सॉकेट को एक ethX's ip एड्रेस पर बाँधने से होस्ट्स को ethXlan पर रोका जा सकेगा, जो ethY' s ip एड्रेस का उपयोग करके लोकल सर्वर को एक्सेस कर सकेगा, और 's' ip एड्रेस का उपयोग करके होस्ट्स ethYको सर्वर तक पहुंचने से नहीं रोक पाएगा ethX। याद रखें कि लिनक्स एक कमजोर होस्ट मॉडल का उपयोग करता है।
बैच

ठीक है, वहाँ अधिक वेब सर्वर संभव है, न केवल एपाचे सर्वर ... मैं हालांकि, इंटरफ़ेस eth2 पर वेब सर्वर को बांधने वाला एक सरल समाधान हो सकता है। लेकिन मैं गलत हो सकता हूं, मुझे पता है।
जन मारेक

जवाबों:


6

BatchyX पहले से ही iptables और रूटिंग के बारे में कुछ बहुत अच्छी व्याख्या देता है, इसलिए मैं अपने आलस्य का अभ्यास करूँगा और सीधे स्क्रिप्ट पर जाऊंगा।

यह 192.168.0.91 के माध्यम से 80,443,22,4070 पोर्ट करने के लिए सभी यातायात NAT चाहिए। शेष सभी 192.168.1.254 के माध्यम से NAT होगा।

मैं अपना परीक्षण फिर से करता हूं और इस गाइड का अनुसरण करता हूं । उस गाइड में क्या गायब है मेरी स्क्रिप्ट में अंतिम 3 लाइनें हैं। जो मुझे दूसरे पोर्ट से मिला, लेकिन मैंने उस लिंक का ट्रैक खो दिया।

यह एक परीक्षण की गई स्क्रिप्ट है।

डिफ़ॉल्ट मार्ग की आवश्यकता है

एक चीज जो मैंने स्क्रिप्ट में नहीं डाली थी, वह डिफ़ॉल्ट मार्ग सेट कर रहा है। यह होना चाहिए

route add default gw 192.168.1.254

जब आप करते हैं route -n, तो यह एकमात्र डिफ़ॉल्ट मार्ग होना चाहिए (गंतव्य: 0.0.0.0)

0.0.0.0    192.168.1.254    0.0.0.0    UG    0    0    0    eth1

fw-router.sh

# रीसेट / फ्लश iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

# रीसेट / फ्लश / सेटअप आईपी रूट (तालिका 4)
आईपी ​​मार्ग फ्लश तालिका 4
आईपी ​​रूट शो टेबल मेन | grep -Ev ^ डिफ़ॉल्ट | पढ़े जबकि ROUTE; आईपी ​​मार्ग जोड़ें तालिका 4 $ रूट जोड़ें; किया हुआ
आईपी ​​मार्ग 192.168.0.1 के माध्यम से तालिका 4 डिफ़ॉल्ट जोड़ें

#Mark पैकेट के साथ मैचिंग D.Port
iptables -t mangle -एक PREROUTING -p tcp --dport 22 -s 10.0.0.0/24 -j MARK --सेट-मार्क 4
iptables -t mangle -एक PREROUTING -p tcp --dport 80 -s 10.0.0.0/24 -j MARK --सेट-मार्क 4
iptables -t mangle -A PREROUTING -p tcp --dport 443 -s 10.0.0.0/24 -j MARK --सेट-मार्क 4
iptables -t mangle -A PREROUTING -p tcp --dport 4070 -s 10.0.0.0/24 -j MARK --सेट-मार्क 4

# नियम नियम
iptables -t nat -A POSTROUTING -o eth1 -j SNAT-to-source 192.168.1.74
iptables -t nat -A POSTROUTING -o eth2 -j SNAT-to-source 192.168.0.91

#IP रूट
आईपी ​​नियम fwmark 4 तालिका 4 जोड़ें
आईपी ​​मार्ग कैश फ्लश

# स्टैक
# यह गाइड से गायब हिस्सा है
गूंज 1> / proc / sys / net / ipv4 / ip_forward
f के लिए / proc / sys / net / ipv4 / conf / * / rp_filter; गूंज 0> $ f; किया हुआ
प्रतिध्वनि 0> / proc / sys / net / ipv4 / मार्ग / फ्लश

PS1: संक्षेप में, MASQUERADEकई बाहरी IP के साथ NAT के लिए (ज्यादातर मामले में, और निश्चित रूप से आपके मामले में) काम नहीं करता है , जिसे किसी प्रकार के लोड संतुलन की आवश्यकता होती है या आने वाले ट्रैफ़िक को संभालने के लिए DNAT की आवश्यकता होती है। आपको SNATदिशा नियंत्रण की आवश्यकता है ।

PS2: शुद्ध iptables पर्याप्त नहीं है।


सबसे पहले, स्क्रिप्ट पर सीधे जाने के लिए चीयर्स :) मैं आज रात की कोशिश करूँगा क्योंकि मैं उस वातावरण में वापस आ जाऊंगा जिसमें यह चलेगा!
टॉर्केड

हम्म, भारी संशोधन की आवश्यकता हो सकती है। मुझे परिणाम जानने दो।
जॉन Siu

संशोधित, अब काम किया जाना चाहिए।
जॉन सियु

मीठा, आपको थोड़े समय में वापस मिल जाएगा: D
Torxed

मैं तुमसे प्यार करता हूँ, इतना सिरदर्द और तुमने इसे हल कर दिया! धन्यवाद!
टॉरकेड

6

नोट: मैंने केवल पहली स्क्रिप्ट पर विचार किया है, पुराने को अनदेखा कर रहा हूं।

  • आपको मौजूदा iptables से हाथ से नेटफिल्टर मॉड्यूल को मोडने की आवश्यकता नहीं है। यह केवल कस्टम कनेक्शन ट्रैकर्स के लिए आवश्यक है।
  • मिश्रण मत करो routeऔर ip route। यह शुद्ध बुराई है। बस ipहर जगह का उपयोग करें और के बारे में भूल जाते हैं ifconfigऔरroute
  • /etc/iproute2/rt_tablesरिबूट के पार रीसेट नहीं है। एक ही प्रविष्टि को बार-बार लागू करना एक अच्छा विचार नहीं है, आपको केवल एक बार करने की आवश्यकता है। याद रखें कि rt_tablesकेवल नाम उपनामों को संख्यात्मक मानों में परिभाषित करें, यह किसी भी कॉन्फ़िगरेशन को नहीं बदलता है।

  • अब iptablesइसके लिए : आपकी FORWARDश्रृंखला में, आप LAN से 4G पर आने वाले पैकेट को छोड़ देते हैं। ये गलत है। FORWARDहुक मार्ग से किया जाता है के बाद किया जाता है। इस बिंदु पर, सभी पॉलिसी रूटिंग की जाती है, और यह पहले से ही ज्ञात है कि पैकेट को 4 जी या एडीएसएल को भेजा जाना चाहिए या नहीं। इसमें FORWARDया बाद में FORWARD(अच्छी तरह से, तकनीकी रूप से, POSTROUTINGगंभीर मामलों में, लेकिन बिंदु पर वापस आकर) फिर से अभ्यास किया जा सकता है ।

अब आपकी रूटिंग के लिए: याद रखें कि उबंटू डिफ़ॉल्ट रूप से रिवर्स पाथ फ़िल्टरिंग को सक्षम करता है। रिवर्स पाथ फ़िल्टरिंग निम्नानुसार काम करता है: जब कर्नेल एक पैकेट प्राप्त करता है (हो सकता है कि इसे अग्रेषित किया जाए या नहीं) इंटरफ़ेस ए से, यह स्रोत पते और गंतव्य पते को उल्टा कर देगा, और जांच करेगा कि परिणामी पैकेट को इंटरफ़ेस ए के माध्यम से रूट किया जाना चाहिए या नहीं। यदि ऐसा नहीं है, तो पैकेट को स्पूफिंग प्रयास के रूप में छोड़ दिया जाता है।

से प्राप्त पैकेट के लिए eth0, यह कोई समस्या नहीं है। से प्राप्त पैकेट के लिए eth1, यह भी कोई समस्या नहीं है, क्योंकि जब स्रोत आईपी पते और गंतव्य आईपी पते को उलटते हैं, तो कर्नेल तालिका में डिफ़ॉल्ट मार्ग होगा main। से प्राप्त पैकेट के लिए eth2, जिसे आप चिह्नित नहीं करते हैं, यह एक समस्या है, क्योंकि कर्नेल डिफ़ॉल्ट मार्ग को तालिका में हिट करेगा main, और विचार करें कि ये पैकेट कहां से मिलने चाहिए थे eth1। सबसे आसान उपाय eth1 पर रिवर्स पाथ फ़िल्टरिंग को निष्क्रिय करना है:

sysctl -w net.ipv4.conf.eth1.rp_filter=0

सभी महान टिप्पणियाँ और हाँ, मेरी ओर से कुछ दोषपूर्ण तर्क हैं, उदाहरण के लिए, प्रत्येक बार rt_tables के लिए अपील करने और विशेष रूप से कुछ तालिकाओं को साफ़ नहीं करने के साथ-साथ मुझे भी मिलना चाहिए लेकिन मुझे वहाँ मिल जाएगा :) मैं सब कुछ एक बार दे दूँगा और देखूँगा अगर यह काम करता है, यदि ऐसा है, तो +50 आप और सबसे महत्वपूर्ण बात यह है कि आप एक आदमी को बिट्स और मटर में कटा होने से बचाए हैं! :)
१०

1
नीचे स्क्रिप्ट काम करती है, लेकिन आप सभी कृतज्ञता के पात्र हैं, आपने मुझे सोचने के लिए एक या दो चीजें दीं और rp_filter = 0 ने एक लंबा रास्ता तय किया! : D
टॉर्क्स किया गया

@BatchyX बहुत जानकारीपूर्ण, आप को वोट भी।
जॉन सियु

@Torxed जिस पोस्ट में मैंने सभी इंटरफ़ेस के लिए rp_filter का उल्लेख किया है, उसे अक्षम करने की आवश्यकता है। मुझे यकीन नहीं है कि यह अन्य तरीके से काम करता है।
जॉन सिउ

@ जॉनसन: आपको सिर्फ इंटरफेस पर आरपी फिल्टर को निष्क्रिय करना होगा जहां यह समस्याग्रस्त है। उस स्थिति में, यह eth1 है, क्योंकि निशान सेट नहीं होने पर उस इंटरफ़ेस पर जाने का कोई मार्ग नहीं है। eth2 में ऐसी कोई समस्या नहीं है, क्योंकि डिफ़ॉल्ट मार्ग उस इंटरफ़ेस में जाता है। Eth0 के लिए, यह वास्तव में आरपी फिल्टर को सक्षम रखने के लिए उपयोगी है, अन्यथा, लैन पर कोई व्यक्ति इंटरनेट पर एक स्रोत पते और लैन पर एक गंतव्य पते के साथ आईपी पैकेट फोर्ज कर सकता है, और राउटर इसे खुशी से स्वीकार करेगा, और आगे। यह वापस ... लोकाचार।
बैच
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.