ARM iptables 设置流量镜像


主要用到的是 iptables 的 tee 模块,在 arm 里面,大部分发行版会弄到 ROUTE 模块里面。

为了加载这个模块先需要:

modprobe ipt_ROUTE

然后就可以使用 tee 模块了,arm 里面大多数发行版的 tee 模块使用方法有点不同。

假如我要对指定 ip 的 udp 包进行镜像,可以这样操作。

iptables -A POSTROUTING -t mangle -j ROUTE --gw moniterIP --tee -p udp -d targetIP

iptables -A POSTROUTING -t mangle -j ROUTE --gw moniterIP --tee -p udp -s targetIP

之后可以 iptables -t mangle -L 看看规则生效了没,这时候应该就能镜像了


阅读全文

linux 利用 iptables 转发端口


准备工作


vi /etc/sysctl.conf

将net.ipv4.ip_forward后面的值修改为1

开启内核转发,然后保存退出

再执行sysctl -p来确认net.ipv4.ip_forward是否为1


查看 iptables,确认 fliter 表(Table: filter)下面的 FORWARD 链(Chain FORWARD)没有reject-with icmp-host-prohibited字样,否则需要添加例外。

这里我直接修改iptables 把拒绝规则删除。


修改 iptables


再次查看 iptables,确认 fliter 表(Table: filter)下面的  INPUT 链(Chain INPUT)是否有reject-with icmp-host-prohibited

如果没有则继续,如果有,需要将该拒绝规则删除或者添加例外:

iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 本机需要监听的端口(和下面保持一样) -j ACCEPT


然后设置转发:

iptables -t nat -A PREROUTING -p tcp -i 网卡(默认情况可以填eth0) --dport 本机需要监听的端口 -j DNAT --to 需要转发的目的IP:目的端口

iptables -t nat -A POSTROUTING -j MASQUERADE


最后保存并且重启 iptables:

service iptables save

service iptables restart


不同的发行版本可能有区别,需要区别对待。


阅读全文