iptables 通过 vpn 引导流量

Question 1

首先，ArchLinux wiki iptables 页面链接的优秀图表有助于识别通过各种iptables链的数据包流（在答案的底部）。

备份

iptables-save > back.up.file

检查您的 Linux 发行版的风格，我需要添加，sudo因为我不是 root。

问题 2(a)、2(b)

为了确定源地址和目标地址，我发现LOG和TRACE函数非常有用：

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

默认表是，filter但我已经明确说明了，以便您可以看到语法，特别是如果您想探索其他表等mangle。nat我插入了规则，-I因为我想在应用其他规则之前记录数据包。添加了速率限制，以便日志文件不会饱和-m limit --limit 5/m --limit-burst 10。最后添加了前缀，以便可以轻松搜索日志文件--log-prefix。例如，在 Linux Mint 上：

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

其次为了调试，该TRACE命令将跟踪数据包的整个过程：

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

警告，这将追踪全部tcp 数据包，更多信息请参见柏林行政

问题 3

由于两个接口（eth0和）都在同一台主机上，从下面的数据包过滤器图中可以看到，对于出站流量，它们从同一点开始。数据包采用的路由由默认网关及其关联接口决定，可以通过运行以下命令tun0确定：iproute2

ip route

这将显示默认网关，哪些接口用于哪些地址范围。

数据包流图

iptables 数据包流图

Answer

首先，ArchLinux wiki iptables 页面链接的优秀图表有助于识别通过各种iptables链的数据包流（在答案的底部）。

备份

iptables-save > back.up.file

检查您的 Linux 发行版的风格，我需要添加，sudo因为我不是 root。

问题 2(a)、2(b)

为了确定源地址和目标地址，我发现LOG和TRACE函数非常有用：

iptables -t filter -I OUTPUT -m limit --limit 5/m --limit-burst 10 -j LOG  --log-prefix "ABC-LOG-PREFIX "

默认表是，filter但我已经明确说明了，以便您可以看到语法，特别是如果您想探索其他表等mangle。nat我插入了规则，-I因为我想在应用其他规则之前记录数据包。添加了速率限制，以便日志文件不会饱和-m limit --limit 5/m --limit-burst 10。最后添加了前缀，以便可以轻松搜索日志文件--log-prefix。例如，在 Linux Mint 上：

cat /var/log/kern.log | grep "ABC-LOG-PREFIX"

其次为了调试，该TRACE命令将跟踪数据包的整个过程：

IPTABLES -t raw -A PREROUTING -p tcp -j TRACE

警告，这将追踪全部tcp 数据包，更多信息请参见柏林行政

问题 3

由于两个接口（eth0和）都在同一台主机上，从下面的数据包过滤器图中可以看到，对于出站流量，它们从同一点开始。数据包采用的路由由默认网关及其关联接口决定，可以通过运行以下命令tun0确定：iproute2

ip route

这将显示默认网关，哪些接口用于哪些地址范围。

数据包流图

iptables 数据包流图

Question 2

据我所知，您正在谈论分割隧道（或者更确切地说，试图禁用它）。

看一下 OpenVPN 中的重定向网关指令：https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Answer

据我所知，您正在谈论分割隧道（或者更确切地说，试图禁用它）。

看一下 OpenVPN 中的重定向网关指令：https://openvpn.net/index.php/open-source/documentation/howto.html#redirect

Question 3

在以下示例中，vpn 设备名称为 tun0（OpenVPN），VPN 网关为 172.21.23.172

#1 - 在你的 Linux 路由器上安装 VPN（我使用的是 ipvanish w. openvpn）

#2 - 使用 iptables 路由流量

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

例子：

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 - 配置路由表（确保所有流量都通过 VPN 路由）

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

例子：

sudo ip route add default via 172.21.23.172 dev tun0

#4 - 通过运行以下命令检查网络上的设备确实通过 VPN 进行路由：

Windows：tracert 1.1.1.1Linux：traceroute 1.1.1.1

你完成了！

Answer

在以下示例中，vpn 设备名称为 tun0（OpenVPN），VPN 网关为 172.21.23.172

#1 - 在你的 Linux 路由器上安装 VPN（我使用的是 ipvanish w. openvpn）

#2 - 使用 iptables 路由流量

sudo iptables -t nat -A POSTROUTING -o [VPN dev] -j MASQUERADE

例子：

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE

#3 - 配置路由表（确保所有流量都通过 VPN 路由）

sudo ip route add default via [VPN ipv4 address] dev [VPN dev]

例子：

sudo ip route add default via 172.21.23.172 dev tun0

#4 - 通过运行以下命令检查网络上的设备确实通过 VPN 进行路由：

Windows：tracert 1.1.1.1Linux：traceroute 1.1.1.1

你完成了！

iptables 通过 vpn 引导流量

问题 1

问题 2(a)

问题 2(b)

问题 3

答案1

备份

问题 2(a)、2(b)

问题 3

数据包流图

答案2

答案3

相关内容