我正在用 Debian 服务器替换运行 Tomato 的无线路由器/防火墙,我很高兴找到了番茄的 iptables 配置,因此我可以直接将其导入新服务器(我之前的问题)。Tomato 的 iptables 配置文件(底部)iptables-restore在 Debian 中失败:
# iptables-restore < iptables.eth0-eth1
iptables-restore v1.4.14: Couldn't load match `mport':No such file or directory
Error occurred at line: 7
Try `iptables-restore -h' or 'iptables-restore --help' for more information.
有没有办法让 mport 进入“现代”iptables?
或者你能帮我翻译mport一下multiport吗?
谷歌搜索iptables mport非常粗糙,但我最终发现有人抱怨 mport 不见了,并且一个多端口教程传递了对 mport 扩展的引用,这导致我窥探这两个盒子的文件系统的模块,并尝试了 Debian 拥有的每个“防火墙”工具,希望有一个神奇的来mport。我承认被 Tomato 的用户界面宠坏了——从那以后我尝试过的每个 Debian 软件包都让我越来越困惑(gui 或 cli)。如果我能让服务器简要地路由所有内容,我认为mason可能会起作用。难怪每个人都讨厌 iptables。
我花了更多的时间试图找出错误。如果我花了那么多时间试图理解iptables,我可能已经将mport规则翻译成multiport. 另外,我考虑过向 SuperUser 发帖,但是,少数 iptables 标记的问题与我在 ServerFault 中阅读的问题不同。
寻找模块:
我通过 ssh 进入带有tomato固件的无线路由器,我libipt_mport.so在/usr/lib/iptables. 但在/lib/modules/2.4.20/kernel/net/ipv4/netfilter目录中,没有libipt_mport.so,只有ipt_multiport.o。
在 Debian 盒子(wheezy 的全新安装)上,我使用updatedb和locate搜索MASQ(对于 MASQUERADE 对象),发现该目录/lib/modules/3.2.0-4-amd64/kernel/net/ipv4/netfilter有一个很好的iptable_*文件数组nf_nat_* ko。搜索也找到libxt_multiport.so了/lib/xtables,但没有对对象模块的引用mport。
另外,下面还有其他问题吗?我看到了第 7 层的东西,感觉接下来会带来更多的复杂性。
Tomato 的配置文件:
注意:
» 99.1.81.209 是 WAN ip
» 10.0.0.2 是此 Debian 防火墙的 ip
» 10.0.0.20 是服务器
» 番茄的公共接口vlan0更改为eth0
» 番茄的内部接口br0更改为eth1
» 端口 5060:5090 用于 VoIP (可能不需要整个范围?)
*mangle
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:QOSO - [0:0]
-A QOSO -j CONNMARK --restore-mark --mask 0xff
-A QOSO -m connmark ! --mark 0/0xff00 -j RETURN
-A QOSO -p tcp -m mport --dports 80,443 -m bcount --range 0x0-0x7ffff -j CONNMARK --set-return 0x2/0xFF
-A QOSO -p tcp -m mport --dports 80,443 -m bcount --range 0x80000 -j CONNMARK --set-return 0x4/0xFF
-A QOSO -p udp --dport 53 -m bcount --range 0x0-0x7ff -j CONNMARK --set-return 0x1/0xFF
-A QOSO -p tcp --dport 53 -m bcount --range 0x0-0x7ff -j CONNMARK --set-return 0x1/0xFF
-A QOSO -p udp --dport 53 -m bcount --range 0x800 -j CONNMARK --set-return 0x5/0xFF
-A QOSO -p tcp --dport 53 -m bcount --range 0x800 -j CONNMARK --set-return 0x5/0xFF
-A QOSO -p udp --dport 1024:65535 -j CONNMARK --set-return 0x5/0xFF
-A QOSO -p tcp --dport 1024:65535 -j CONNMARK --set-return 0x5/0xFF
-A QOSO -p udp -m mport --ports 5060:5090 -m layer7 --l7dir /etc/l7-protocols --l7proto sip -j CONNMARK --set-return 0x101/0xFF
-I QOSO -j BCOUNT
-A QOSO -j CONNMARK --set-return 0x4
-A FORWARD -o eth0 -j QOSO
-A OUTPUT -o eth0 -j QOSO
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -d 10.0.0.2/255.255.255.0 -j DROP
-A PREROUTING -p icmp -d 99.1.81.209 -j DNAT --to-destination 10.0.0.2
-A PREROUTING -p tcp -m tcp -d 99.1.81.209 --dport 22 -j DNAT --to-destination 10.0.0.2:22
-A PREROUTING -p tcp -d 99.1.81.209 --dport 10022 -j DNAT --to-destination 10.0.0.20:22
-A POSTROUTING -p tcp --dport 22 -s 10.0.0.2/255.255.255.0 -d 10.0.0.20 -j SNAT --to-source 99.1.81.209
:upnp - [0:0]
-A PREROUTING -d 99.1.81.209 -j upnp
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i eth1 -d 99.1.81.209 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-N shlimit
-A shlimit -m recent --set --name shlimit
-A shlimit -m recent --update --hitcount 3 --seconds 60 --name shlimit -j DROP
-A INPUT -p tcp --dport 22 -m state --state NEW -j shlimit
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp -d 10.0.0.2 --dport 22 -j ACCEPT
:FORWARD DROP [0:0]
-A FORWARD -i eth1 -o eth1 -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1461: -j TCPMSS --set-mss 1460
:L7in - [0:0]
-A FORWARD -i eth0 -j L7in
-A L7in -m layer7 --l7dir /etc/l7-protocols --l7proto sip -j RETURN
:wanin - [0:0]
:wanout - [0:0]
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j wanin
-A FORWARD -o eth0 -j wanout
-A FORWARD -i eth1 -j ACCEPT
:upnp - [0:0]
-A FORWARD -i eth0 -j upnp
-A wanin -p tcp -m tcp -d 10.0.0.20 --dport 22 -j ACCEPT
COMMIT
