George Robinson Asked: 2019-11-25 09:53:48 +0800 CST2019-11-25 09:53:48 +0800 CST 2019-11-25 09:53:48 +0800 CST 如何使用 TEE 克隆 MASQUERADE 目标的输出? 772 Netfilter 的扩展手册页指出: MASQUERADE:这个目标只在nat表中有效,在POSTROUTING链中 问题:如何使用目标克隆目标的输出?MASQUERADETEE 如果您查看下图netfilter/iptables,您会注意到这nat.POSTROUTING是在将数据包发送到出站接口之前要评估的最后一个链。没有raw.POSTROUTING链条,……或者有吗? 也看到这个。 PS当数据通过这些接口(出口和入口)以相反方向流动时,在and接口以相同顺序 处理mangle和表的基本原理是什么?natoutboundinbound linux iptables 1 个回答 Voted Best Answer A.B 2019-11-25T13:53:32+08:002019-11-25T13:53:32+08:00 据我所知,由于不可能在nat/POSTROUTING之后执行iptables规则,这是iptables提供的最后一个钩子,因此无法使用iptables来捕获 NAT 后的数据包。 但这在使用nftables时是可能的,因为挂钩优先级是用户定义的。nft的dup语句是iptables的TEE的直接替代品。可以混合使用 nftables和iptables,只要它们不都进行 NAT(nat 资源是特殊的,不能在iptables和nftables之间正确共享)。使用iptables-over-nftables的iptables版本也可以工作(刷新规则集时应小心),当然,只对所有内容使用nft也可以。 这是一个现成的nft规则集,用于在eth1上具有 NATed LAN且在eth2上具有 WAN 端的路由器上,将副本发送到 LAN 端的 192.168.0.3。就像OP 的另一个问题中描述的那样。放入名为forwireshark.nft的文件中并使用以下命令“加载” nft -f forwireshark.nft: table ip forwireshark { chain postnat { type filter hook postrouting priority 250; policy accept; oif eth2 counter dup to 192.168.0.3 device eth1 } } 这里重要的是值 250 已被选择为高于iptables ' NF_IP_PRI_NAT_SRC(100)。 以下是当 ping 主机在某些不活动后执行时通常会接收到 wireshark 主机的内容ping -c1 8.8.8.8(注意来自“错误”IP 的奇怪 ARP 请求,在某些系统上默认情况下可能不接受): root@ns-wireshark:~# tcpdump -e -n -s0 -p -i eth0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 21:06:03.074142 82:01:54:27:4d:d7 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.1 tell 192.168.0.2, length 28 21:06:03.074301 9a:80:fb:e6:6a:0a > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.0.3 tell 140.82.118.4, length 28 21:06:03.074343 7e:0a:6c:12:00:61 > 9a:80:fb:e6:6a:0a, ethertype ARP (0x0806), length 42: Reply 192.168.0.3 is-at 7e:0a:6c:12:00:61, length 28 21:06:03.074387 9a:80:fb:e6:6a:0a > 7e:0a:6c:12:00:61, ethertype IPv4 (0x0800), length 98: 140.82.118.4 > 8.8.8.8: ICMP echo request, id 1633, seq 1, length 64 我不知道mangle/POSTROUTING和nat/POSTROUTING顺序的基本原理。无论如何,这是iptables限制的一部分,因为在nftables中,除了等价于mangle/OUTPUT (用于重新路由的特殊类型的路由挂钩)之外, mangle的所有其他等效用法都是类型 filter的一部分:实际上并没有单独的mangle类型了。能够选择优先级的顺序允许做更多的事情。
据我所知,由于不可能在nat/POSTROUTING之后执行iptables规则,这是iptables提供的最后一个钩子,因此无法使用iptables来捕获 NAT 后的数据包。
但这在使用nftables时是可能的,因为挂钩优先级是用户定义的。nft的dup语句是iptables的TEE的直接替代品。可以混合使用 nftables和iptables,只要它们不都进行 NAT(nat 资源是特殊的,不能在iptables和nftables之间正确共享)。使用iptables-over-nftables的iptables版本也可以工作(刷新规则集时应小心),当然,只对所有内容使用nft也可以。
这是一个现成的nft规则集,用于在eth1上具有 NATed LAN且在eth2上具有 WAN 端的路由器上,将副本发送到 LAN 端的 192.168.0.3。就像OP 的另一个问题中描述的那样。放入名为forwireshark.nft的文件中并使用以下命令“加载”
nft -f forwireshark.nft:这里重要的是值 250 已被选择为高于iptables '
NF_IP_PRI_NAT_SRC(100)。以下是当 ping 主机在某些不活动后执行时通常会接收到 wireshark 主机的内容
ping -c1 8.8.8.8(注意来自“错误”IP 的奇怪 ARP 请求,在某些系统上默认情况下可能不接受):我不知道mangle/POSTROUTING和nat/POSTROUTING顺序的基本原理。无论如何,这是iptables限制的一部分,因为在nftables中,除了等价于mangle/OUTPUT (用于重新路由的特殊类型的路由挂钩)之外, mangle的所有其他等效用法都是类型 filter的一部分:实际上并没有单独的mangle类型了。能够选择优先级的顺序允许做更多的事情。