다음 시나리오에 대한 iptables 규칙을 만들어야합니다.
A. 대상 포트는 1234입니다.A(8.2.3.4)는 수신 된 UDP 데이터를 호스트 B1(7.2.3.1), B2(22.93.12.3), ... Bn(12.42.1.3)로 리디렉션합니다. IP 주소는 그림에 불과합니다.B1, B2, ... Bn받아야 하는 모든 패키지를. 따라서 호스트 A는 패키지 를 복제 해야합니다.B1, B2... Bn)과 소스 IP (호스트 A)AB1, B2...BnB1,, B2... Bn이 (가) 응답 할 필요가 없습니다.나는 이것을 PREROUTING/ 로 해결하려고 노력했다 mangle.
HOST_A=8.2.3.4
HOST_B1=7.2.3.1
HOST_B2=22.93.12.3
...
HOST_BN=12.42.1.3
iptables -F -t mangle
iptables -t mangle -A PREROUTING -d $HOST_A -p udp --dport 1234 -j TEE --gateway $HOST_B1
iptables -t mangle -A PREROUTING -d $HOST_A -p udp --dport 1234 -j TEE --gateway $HOST_B2
...
iptables -t mangle -A PREROUTING -d $HOST_A -p udp --dport 1234 -j TEE --gateway $HOST_BN
iptables -L -t mangle
호스트 B1,, B2... Bn이 (가) 데이터를 수신하지 않는 것 같습니다. 누구든지 무엇이 잘못되었는지 알고 있습니까? 디버깅은 실제로 매우 까다 롭습니다 (실제로 할 방법이 없음을 찾았습니다).
감사
모든 기준과 일치하는 도구가 있습니다. samplicator :
UDP 샘플링
이 작은 프로그램은 지정된 포트에서 UDP 데이터 그램을 수신하고 해당 데이터 그램을 지정된 수신기 세트로 다시 보냅니다. 또한, 샘플링 제수 N은 각 수신기에 대해 개별적으로 지정 될 수 있으며, 그러면 N 개의 수신 된 패킷 중 하나만 수신합니다.
대상 B1 B2 및 Bn에 대한 OP의 예와 일치하는 호스트 A에서 실행할 명령의 예 :
samplicate -p 1234 7.2.3.1/1234 22.93.12.3/1234 12.42.1.3/1234
그것은 아마도 더 합리적인 일일 것입니다.
비합리적인 접근 방식의 경우 어려움이 있는 iptables (이 UL SE Q / A 에서 내 대답에 두 개의 중복 만있는 예 ) 또는 conntrack 과 관련된 복잡성을 피하면서 stateless NAT를 수행 할 수있는 nftables 를 사용 하여 커널 내에서 수행 할 수 있습니다. 영역 .
nftables 는 iptables 의 TEE에 해당하는 dup을 사용 합니다.
DUP 진술
dup 문은 패킷을 복제하고 복사본을 다른 대상으로 보내는 데 사용됩니다.
dup to device
dup to address device device
참고 : 첫 번째 구문은 ip제품군 에서 사용할 수 없지만 netdev여러 문제를 추가 하는 제품군 에서만 사용할 수 있습니다. 그중 하나는 변경이 필요한 올바른 MAC 주소 (이더넷 인터페이스의 경우)를 추측해야합니다. 실용성이 떨어집니다.
dup 은 TEE 와 동일한 동작을 합니다. 중복은 즉시 인터페이스의 게이트웨이로 "비워 져야"합니다 (게이트웨이는 인터페이스 유형과 관련이있는 경우 대상 MAC 주소를 ARP를 사용하여 확인하는 데만 사용되는 IPv4 주소를 의미 함). 그러나 IP 패킷 자체에는 없음) 아마도 나머지 라우팅 스택에 의해 비정상적으로 처리되는 것을 피할 수 있습니다. 최종 목적지는 게이트웨이 주소가 될 수 없습니다 (동일한 LAN에 있지 않는 한).
여기서는 이미 statelessly SNATed (A의 자체 주소로) / DNATed (최종 목적지로) 패킷을 호스트 자체에 다시 주입하기 위해 특별한 라우팅 설정이 수행되어 마치 실제로 있었던 것처럼 목적지로 추가 라우팅합니다. 스스로 방출합니다. 이를 위해서는 자신의 로컬 IP 주소 수신 을 수락 하고 수신 veth 인터페이스 에서 모든 역방향 경로 필터 를 비활성화 해야합니다 (따라서 all 설정 에서도이 작업을 수행해야 함 ). 필요한 경우 eth0에서 명시 적으로 다시 활성화 할 수 있습니다 .
초기 실행 네트워크 구성 (단일 인터페이스 eth0 사용 ) 외에 호스트 A에서 설정 :
HOST_A=8.2.3.4
ip link add name vethinj up type veth peer name vethgw
ip link set vethgw up
sysctl -w net.ipv4.conf.vethgw.forwarding=1
sysctl -w net.ipv4.conf.vethgw.accept_local=1
sysctl -w net.ipv4.conf.vethgw.rp_filter=0
sysctl -w net.ipv4.conf.all.rp_filter=0
ip route add $HOST_A/32 dev vethinj
할당 할 추가 IP 주소가 없습니다. 약한 호스트 모델을 사용하는 Linux , eth0 의 IP 주소 는 vethgw에서 사용할 수 있으므로 경로가 추가되면 vethinj를 통해 게이트웨이로 연결할 수 있습니다.
아래에서 로드 할 파일 의 nftables 규칙은 다음 multiply.nft과 nft -f multiply.nft같습니다.
ip saddr set)를 수행합니다 . 이것은 conntrack 의 NAT를 포함하지 않습니다 .ip daddr setHOST_Bx에 대해 상태 비 저장 DNAT ( )를 수행하고 A의 자체 주소를 게이트웨이로 사용하여 패킷을 veth 쌍 의 주입 측에 복제합니다 .multiply.nft:
define HOST_A=8.2.3.4
define HOST_B1=7.2.3.1
define HOST_B2=22.93.12.3
define HOST_Bn=12.42.1.3
table ip multiply
delete table ip multiply
table ip multiply {
chain c {
type filter hook prerouting priority -300; policy accept;
iif != vethgw ip daddr $HOST_A udp dport 1234 ip saddr set $HOST_A goto cmultiply
}
chain cmultiply {
jump cdnatdup
drop
}
chain cdnatdup {
ip daddr set $HOST_B1 dup to $HOST_A device vethinj
ip daddr set $HOST_B2 dup to $HOST_A device vethinj
ip daddr set $HOST_Bn dup to $HOST_A device vethinj
}
}
그 후에 새로운 대상 192.0.2.2를 추가하려면 수동으로 수행 할 수 있습니다.
nft add rule ip multiply cdnatdup ip daddr set 192.0.2.2 dup to 8.2.3.4 device vethinj
아래는 S2에서 들어와 B1 B2 및 Bn으로 복제 된 단일 패킷에 대한 텍스트 회로도입니다.
S1 →┄┄┄┄┄╮ ╭┄┄┄┄┄┄┄┄→ B1
S2 →┄┄┄╮ ┊ ┊ ╭┄┄┄┄┄┄→ B2
... ┊ ┊ ┊ ┊ ...
Sn →┄╮ ┊ ┊ ┊ ┊ ╭┄┄┄┄→ Bn
┊ ┊ ╰┄┄ ┄ ┌──────┐↗┄┄┄┄╯ ┊ ┊
┊ ╰┄┄┄┄┄┄┄┄┄┄┄┄→│ eth0 │→┄┄┄┄┄┄╯ ┊
╰┄┄┄┄┄┄ ┄ └──────┘↘┄┄┄┄┄┄┄┄╯
↙ ↖↖↖
snat ↯ ↑↑↑ internal
nftables: dnat ⇊ A ↑↑↑ routing
& dup ↓↓↓ ↑↑↑
┌───────┐ ┌───────┐
│vethinj│ │vethgw │
└───────┘ └───────┘
╰─── ⇶ ───╯
virtual wire
참고 :이 NAT는 conntrack에 의해 처리되지 않았기 때문에 B1 B2 ... Bn이 원래 소스에 응답 할 가능성은 없지만 OP에 의해 포기되었습니다.
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다