Início / unix / Perguntas / 553899
Accepted
George Robinson
Asked: 2019-11-25 09:53:48 +0800 CST

Como clonar a saída do alvo MASQUERADE com um TEE?

  • 772

A página de manual de extensões do Netfilter afirma que:

MASQUERADE: Este alvo só é válido na nattabela, na POSTROUTINGcadeia

PERGUNTA: Como clonar a saída do MASQUERADEdestino com um TEEdestino?

Se você observar o diagrama netfilter/iptablesabaixo, notará que nat.POSTROUTINGé a última cadeia a ser avaliada antes que o pacote seja enviado para a interface de saída. Não há uma raw.POSTROUTINGcadeia, ... ou há?

insira a descrição da imagem aqui Veja também isso .

PS
Qual é a razão para processar as tabelas manglee natna mesma ordem na interface outbounde inbound, quando os dados fluem em direções opostas através dessas interfaces (egresso e ingresso)?

linux iptables

1 respostas

  1. Best Answer

    Até onde eu sei, como não é possível ter uma regra iptables executada após nat/POSTROUTING , que é o último gancho fornecido por iptables , não é possível usar iptables para capturar um pacote pós-NAT.

    Mas isso é possível ao usar nftables , já que a prioridade do gancho é definida pelo usuário . A instrução dup do nft é uma substituição direta do TEE do iptables . É possível misturar nftables e iptables desde que ambos não estejam fazendo NAT (o recurso nat é especial e não pode ser compartilhado adequadamente entre iptables e nftables ). Usar a versão do iptables -over-nftables do iptables também funcionará (cuidado deve ser tomado ao liberar conjuntos de regras), e é claro que usar apenas nft para tudo também funcionaria.

    Aqui está um conjunto de regras nft pronto para isso em um roteador com uma LAN NATed em eth1 e seu lado WAN em eth2 , para enviar uma cópia para 192.168.0.3 no lado LAN. como descrito em outra pergunta do OP . Para ser colocado em algum arquivo chamado forwireshark.nft e ser "carregado" usando nft -f forwireshark.nft:

    table ip forwireshark {
        chain postnat {
                type filter hook postrouting priority 250; policy accept;
                oif eth2 counter dup to 192.168.0.3 device eth1
        }
}

    O que importa aqui é que o valor 250 foi escolhido para ser maior que iptables ' NF_IP_PRI_NAT_SRC(100) .

    Aqui está o que normalmente receberia o host wireshark quando o host de ping faz ping -c1 8.8.8.8após alguma inatividade (observe a estranha solicitação ARP do IP "errado", que pode não ser aceita por padrão em alguns sistemas):

    root@ns-wireshark:~# tcpdump -e -n -s0 -p -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:06:03.074142 82:01:54:27:4d:d7 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.1 tell 192.168.0.2, length 28
21:06:03.074301 9a:80:fb:e6:6a:0a > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.3 tell 140.82.118.4, length 28
21:06:03.074343 7e:0a:6c:12:00:61 > 9a:80:fb:e6:6a:0a, ethertype ARP (0x0806), length 42: Reply 192.168.0.3 is-at 7e:0a:6c:12:00:61, length 28
21:06:03.074387 9a:80:fb:e6:6a:0a > 7e:0a:6c:12:00:61, ethertype IPv4 (0x0800), length 98: 140.82.118.4 > 8.8.8.8: ICMP echo request, id 1633, seq 1, length 64

    Eu não sei o raciocínio na ordem de mangle/POSTROUTING e nat/POSTROUTING . De qualquer forma, isso faz parte das limitações do iptables , porque em nftables , além do equivalente de mangle/OUTPUT que é um gancho de rota de tipo especial para reencaminhamento, todos os outros usos equivalentes de mangle são parte do tipo filter : não há realmente um tipo mangle separado não mais. Ser capaz de escolher a ordem de prioridades permite fazer mais.

    • 1

relate perguntas