码迷,mamicode.com
首页 > 系统相关 > 详细

ats Linux路由器上内联

时间:2018-07-15 22:15:47      阅读:245      评论:0      收藏:0      [点我收藏+]

标签:rect   第一步   record   打开   0.0.0.0   eve   records   --   它的   

路由设置假定客户端集在单个物理接口后面的不同网络上。 出于本例的目的,我们将假设:

客户端位于172.28.56.0/24网络上
路由器连接网络172.28.56.0/24和192.168.1.0/24
接口eth0在网络192.168.1.0/24上
接口eth1在网络172.28.56.0/24上
路由器已配置为为客户端正确路由流量。

在此示例中,我们将拦截遍历路由器的端口80(HTTP)流量。 第一步是使用iptables来
适当地处理IP数据包。

# reflow client web traffic to TPROXY
iptables -t mangle -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j TPROXY \
--on-ip 0.0.0.0 --on-port 8080 --tproxy-mark 1/1
# Let locally directed traffic pass through.
iptables -t mangle -A PREROUTING -i eth0 --source 192.168.1.0/24 -j ACCEPT
iptables -t mangle -A PREROUTING -i eth0 --destination 192.168.1.0/24 -j ACCEPT
# Mark presumed return web traffic
iptables -t mangle -A PREROUTING -i eth0 -p tcp -m tcp --sport 80 -j MARK --set-mark 1/1

我们标记数据包,以便我们可以对它们使用策略路由。 对于入站数据包,我们使用TPROXY来接受发送到外部IP地址的数据包。 对于返回出站数据包,将有一个套接字打开绑定到外部地址,我们只需要强制它在本地传递。 --on-ip的值为0,因为目标端口正在侦听并且未绑定到特定地址。 --on-port的值必须与Traffic Server服务器端口匹配。 否则它的值是任意的。 --dport和--sport从客户端和源服务器的角度指定端口。 中间的两行免除了本地Web流量被标记为Traffic Server - 这些规则可以根据需要收紧或放松。 它们通过匹配流量并在检查最后一行之前通过ACCEPT退出iptables处理来进行服务。

一旦标记了流,我们就可以通过策略路由表强制它们通过环回接口在本地传递。
ip rule add fwmark 1/1 table 1
ip route add local 0.0.0.0/0 dev lo table 1

使用的标记是任意的,但它必须在iptables和路由规则之间保持一致。

修改records.config
proxy.config.http.server_ports
STRING Default: value from --on-port
proxy.config.reverse_proxy.enabled
INT Default: 1
proxy.config.url_remap.remap_required
INT Default: 0

ats Linux路由器上内联

标签:rect   第一步   record   打开   0.0.0.0   eve   records   --   它的   

原文地址:https://www.cnblogs.com/yx2016542/p/9314932.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!