대상 포트를 기반으로 다른 인터페이스에서 출력 트래픽

내 질문은 기본적으로 특정 인터페이스에서 특정 아웃 바운드 트래픽 만 허용 과 같습니다 .

두 개의 인터페이스 eth1(10.0.0.2)와 wlan0(192.168.0.2)가 있습니다. 내 기본 경로는입니다 eth1. 모든 https-traffic이 통과하기를 원한다고 가정 해 봅시다 wlan0. 이제 다른 질문에서 제안 된 솔루션을 사용하면 https 트래픽이 통과 wlan0하지만 여전히 소스 주소는 eth1(10.0.0.2)입니다. 이 주소는 wlan0게이트웨이로 라우팅 할 수 없으므로 응답이 다시 나타나지 않습니다. 쉬운 방법은 응용 프로그램에서 바인드 주소를 올바르게 설정하는 것이지만이 경우에는 적용 할 수 없습니다.

src-addr을 다시 작성해야한다고 생각합니다.

# first mark it so that iproute can route it through wlan0
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1
# now rewrite the src-addr
iptables -A POSTROUTING -t nat -o wlan0 -p tcp --dport 443 -j SNAT --to 192.168.0.2

이제 tcpdump는 나가는 패킷이 잘 보이고 나가는 패킷이 192.168.0.2에 도달하는 것을 보았습니다. 그러나 응용 프로그램에서 끝나지 않을 것입니다. ACK가 이미 접수되었습니다.

그래서 나는 아마도 들어오는 주소를 다시 써야한다고 생각했다.

iptables -A PREROUTING -t nat -i wlan0 -p tcp --sport 443 -j DNAT --to 10.0.0.2

그러나 그것은 작동하지 않았습니다. 그래서 나는 여기에 붙어 있습니다. 어떤 제안?

당신은 가까이 있습니다.

애플리케이션이 리턴 트래픽을 보지 못하는 실제 이유는 커널에 내장 된 IP 스푸핑 보호 기능 때문입니다. 즉, 반환 트래픽이 라우팅 테이블과 일치하지 않으므로 삭제됩니다. 다음과 같이 스푸핑 방지 기능을 해제하여이 문제를 해결할 수 있습니다.

sudo sysctl net.ipv4.conf.wlan0.rp_filter=0

그러나 나는 그것을 추천하지 않을 것입니다. 보다 적절한 방법은 대체 라우팅 인스턴스를 만드는 것입니다.

1. 마크가 필요합니다. 보관해라.
2. 소스 NAT도 필요합니다.
3. 최종 DNAT는 불필요하므로 제거 할 수 있습니다.

iproute패키지가 설치되어 있는지 확인하십시오 . 당신이 ip명령을 가지고 있다면 당신은 (당신이하는 것처럼 보이지만 그것을 먼저 얻지 못하면) 설정됩니다.

/etc/iproute2/rt_tables다음 행을 추가하여 새 테이블을 편집 하고 추가 하십시오 .

200 wlan-route

그런 다음 wlan-route기본 게이트웨이로 이름이 지정된 새 라우팅 테이블을 구성 하고 해당 테이블로 트래픽을 조건부로 전송하는 규칙을 작성해야합니다. 기본 게이트웨이가 192.168.0.1이라고 가정하겠습니다. 당연히 이것은 내 가정뿐만 아니라 실제 네트워크와 일치해야합니다.

ip route add default via 192.168.0.1 dev wlan0 table wlan-route
ip rule add fwmark 0x1 table wlan-route

최종 주석이 달린 스크립트는 다음과 같습니다.

# Populate secondary routing table
ip route add default via 192.168.0.1 dev wlan0 table wlan-route
# Anything with this fwmark will use the secondary routing table
ip rule add fwmark 0x1 table wlan-route
# Mark these packets so that iproute can route it through wlan-route
iptables -A OUTPUT -t mangle -o eth1 -p tcp --dport 443 -j MARK --set-mark 1
# now rewrite the src-addr
iptables -A POSTROUTING -t nat -o wlan0 -p tcp --dport 443 -j SNAT --to 192.168.0.2

바하마의 해결책 은 정확합니다. 그러나이 작업을 수행 할 수있는 유일한 방법은 NATing과 관련된 두 가지 (이 경우 eth1 및 wlan0)뿐만 아니라 시스템의 모든 인터페이스에 대해 rp_filter를 비활성화하는 것입니다.

for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 > $f; done
echo 1 > /proc/sys/net/ipv4/route/flush

(이 페이지의 끝에있는 중요 사항 : 고급 라우팅 하우투 (Advanced Routing Howto) -더 이상 게시 된 링크는 존재하지 않지만, 웨이 백 머신을 통해 발견했습니다)

한 가지 제안 : 출력 체인 --sport대신 항상 사용해야 합니다 --dport.

NAT dport가를 변경하면 규칙을 사용할 수 없게됩니다.

아래가 필요하다고 생각합니다.

ip ru add from 192.168.0.2 table 3 prio 300
ip ro add table 3 default via 192.168.0.1 dev wlan0