Debian LAN 数据包转发唤醒？

Question

唤醒主机的问题是，要向其发送数据包，网络堆栈必须知道 NIC 的 MAC 地址。通常它是动态处理的ARP。如果 MAC 条目已从路由器的 ARP 表中逐出，则当主机处于睡眠状态时，它无法回答 ARP 查询，因此路由器无法获取到达睡眠主机所需的 MAC 地址以向其发送 WOL Magic Packet ™ 即使该数据包包含该 MAC 地址的 16 倍在其有效负载中。

这里有两种方法来克服这个问题，仅依靠网络堆栈（以及像iptables或者TC）。

永久ARP

由于路由器具有控制权，因此可以在路由器上为休眠主机设置永久 ARP 条目。这样就永远不会出现之前的问题了。路由器现在可以轻松发送或转发 WOL Magic Packet™，而无需在任何地方使用任何广播。通过 NAT 进行“端口转发”，远程主机就可以使用wakeonlan命令（而不是命令etherwake，因为它可以改变UDP端口）。

因此，休眠主机需要一个静态地址（或具有永久 DHCP 租约的地址）。假设路由器上的 WAN 地址是 192.0.2.2旺0，路由器LAN侧接口为192.168.1.1/24局域网0以及 MAC 地址为 12:34:56:78:9a:bc 的接口上的睡眠主机 192.168.1.101/24。

在路由器上：

ip neighbour replace 192.168.1.101 lladdr 12:34:56:78:9a:bc dev lan0 nud permanent

由于尚不清楚 NIC 接收到的数据包是否会被消耗或仍然正确地可供唤醒的主机使用，因此传统上选择端口 9，因为这是丢弃服务如果它正在“运行”并且两者都是相同的。如果需要，请选择 9 之外的其他端口。睡眠主机上的此端口最好不使用并受防火墙保护（丢弃数据包），或者实际运行丢弃服务。由于一个端口映射到一个目标，因此如果有多个 WOL 主机，则每个主机都应具有不同的端口。

通过选择所有不属于 OP 描述的接口，可以解决第一个数据包到达 OP 描述中其他地方的问题。局域网0界面。

所以仍然在路由器上，使用iptables，执行 DNAT 并允许重定向数据包：

iptables -t nat -I PREROUTING ! -i lan0 -p udp --dport 9 -j DNAT --to-destination 192.168.1.101
iptables -I FORWARD -m conntrack --ctstate DNAT -d 192.168.1.101 -j ACCEPT

Internet 上的远程主机现在可以执行此操作来唤醒休眠的主机：

wakeonlan -i 192.0.2.2 -p 9 12:34:56:78:9a:bc

系统集成取决于网络配置所使用的方法。例如，如果配置为interfaces和如果向上向下，这两个命令可以作为节中的命令iptables添加（并在命令中删除）和as命令。pre-upiface lan0 ...downip neighbourup

定向子网广播（从内核 4.19 开始）

工具始终可以选择使用广播数据包，这些数据包最终作为广播以太网帧到达所有主机，包括目标主机。

路由时可以这样做，但涉及更多风险（包括参与反射攻击）。使用前请考虑安全性。

必须全局启用定向子网广播和在接收 WAN 接口（不是目标 LAN 接口）上。如果可能有多个 WAN 接口（OP 描述数据包首先到达一个接口，然后到达另一个接口），请在所有涉及的接口上启用它。

sysctl -w net.ipv4.conf.all.bc_forwarding=1
sysctl -w net.ipv4.conf.wan0.bc_forwarding=1

添加 NAT 和 FORWARD 规则：

iptables -t nat -I PREROUTING ! -i lan0 -p udp --dport 9 -j DNAT --to-destination 192.168.1.255
iptables -I FORWARD -m conntrack --ctstate DNAT -d 192.168.1.255 -j ACCEPT

作为限制风险的选项，最终将 IPv4 以太网帧 (ethertype 0x800) 转换为用于 WOL 的事实上的 ethertype 0x842，使用TC，因此结果将被网络堆栈忽略（但不会被 WOL NIC 忽略）。可以使用 iptables 设置的标记，或者这里只考虑 IP 目标和 UDP 目标端口 9。如果 Untangle 使用前一种方法，则前一种方法会与标记发生冲突，如果 Untangle 使用，任何一种方法都会发生冲突TC用于服务质量。

tc qdisc add dev lan0 root handle 1: prio # simple classful qdisc used only to enable filters
tc filter add dev lan0 parent 1: protocol ip basic match '
    cmp (u32 at 16 layer network eq 0xc0a801ff) and
    cmp (u8 at 9 layer network eq 17) and
    cmp (u16 at 2 layer transport eq 9)
    ' action skbmod set etype 0x842

多于，

u32在16层网络eq 0xc0a801ff表示IP地址目的地192.168.1.255，
u8在9层网络eq 17表示UDP，
u16 在 2 层传输 eq 9 表示目标端口 9。
结果是将以太类型更改为 0x842

同样，互联网上的远程主机现在可以这样做来唤醒休眠的主机：

wakeonlan -i 192.0.2.2 -p 9 12:34:56:78:9a:bc

但它每次都会针对整个 LAN，因此当有多个睡眠 WOL 主机时，保持相同的端口并仅更改 MAC 地址就足够了。

其他可考虑的方法：

fwknopd安装在服务器上并且fwknop安装在客户端实现加密单身的数据包授权机制来触发命令。它可用于触发在路由器上运行wakeonlan/ 。etherwake

Answer 1

唤醒主机的问题是，要向其发送数据包，网络堆栈必须知道 NIC 的 MAC 地址。通常它是动态处理的ARP。如果 MAC 条目已从路由器的 ARP 表中逐出，则当主机处于睡眠状态时，它无法回答 ARP 查询，因此路由器无法获取到达睡眠主机所需的 MAC 地址以向其发送 WOL Magic Packet ™ 即使该数据包包含该 MAC 地址的 16 倍在其有效负载中。

这里有两种方法来克服这个问题，仅依靠网络堆栈（以及像iptables或者TC）。

永久ARP

由于路由器具有控制权，因此可以在路由器上为休眠主机设置永久 ARP 条目。这样就永远不会出现之前的问题了。路由器现在可以轻松发送或转发 WOL Magic Packet™，而无需在任何地方使用任何广播。通过 NAT 进行“端口转发”，远程主机就可以使用wakeonlan命令（而不是命令etherwake，因为它可以改变UDP端口）。

因此，休眠主机需要一个静态地址（或具有永久 DHCP 租约的地址）。假设路由器上的 WAN 地址是 192.0.2.2旺0，路由器LAN侧接口为192.168.1.1/24局域网0以及 MAC 地址为 12:34:56:78:9a:bc 的接口上的睡眠主机 192.168.1.101/24。

在路由器上：

ip neighbour replace 192.168.1.101 lladdr 12:34:56:78:9a:bc dev lan0 nud permanent

由于尚不清楚 NIC 接收到的数据包是否会被消耗或仍然正确地可供唤醒的主机使用，因此传统上选择端口 9，因为这是丢弃服务如果它正在“运行”并且两者都是相同的。如果需要，请选择 9 之外的其他端口。睡眠主机上的此端口最好不使用并受防火墙保护（丢弃数据包），或者实际运行丢弃服务。由于一个端口映射到一个目标，因此如果有多个 WOL 主机，则每个主机都应具有不同的端口。

通过选择所有不属于 OP 描述的接口，可以解决第一个数据包到达 OP 描述中其他地方的问题。局域网0界面。

所以仍然在路由器上，使用iptables，执行 DNAT 并允许重定向数据包：

iptables -t nat -I PREROUTING ! -i lan0 -p udp --dport 9 -j DNAT --to-destination 192.168.1.101
iptables -I FORWARD -m conntrack --ctstate DNAT -d 192.168.1.101 -j ACCEPT

Internet 上的远程主机现在可以执行此操作来唤醒休眠的主机：

wakeonlan -i 192.0.2.2 -p 9 12:34:56:78:9a:bc

系统集成取决于网络配置所使用的方法。例如，如果配置为interfaces和如果向上向下，这两个命令可以作为节中的命令iptables添加（并在命令中删除）和as命令。pre-upiface lan0 ...downip neighbourup

定向子网广播（从内核 4.19 开始）

工具始终可以选择使用广播数据包，这些数据包最终作为广播以太网帧到达所有主机，包括目标主机。

路由时可以这样做，但涉及更多风险（包括参与反射攻击）。使用前请考虑安全性。

必须全局启用定向子网广播和在接收 WAN 接口（不是目标 LAN 接口）上。如果可能有多个 WAN 接口（OP 描述数据包首先到达一个接口，然后到达另一个接口），请在所有涉及的接口上启用它。

sysctl -w net.ipv4.conf.all.bc_forwarding=1
sysctl -w net.ipv4.conf.wan0.bc_forwarding=1

添加 NAT 和 FORWARD 规则：

iptables -t nat -I PREROUTING ! -i lan0 -p udp --dport 9 -j DNAT --to-destination 192.168.1.255
iptables -I FORWARD -m conntrack --ctstate DNAT -d 192.168.1.255 -j ACCEPT

作为限制风险的选项，最终将 IPv4 以太网帧 (ethertype 0x800) 转换为用于 WOL 的事实上的 ethertype 0x842，使用TC，因此结果将被网络堆栈忽略（但不会被 WOL NIC 忽略）。可以使用 iptables 设置的标记，或者这里只考虑 IP 目标和 UDP 目标端口 9。如果 Untangle 使用前一种方法，则前一种方法会与标记发生冲突，如果 Untangle 使用，任何一种方法都会发生冲突TC用于服务质量。

tc qdisc add dev lan0 root handle 1: prio # simple classful qdisc used only to enable filters
tc filter add dev lan0 parent 1: protocol ip basic match '
    cmp (u32 at 16 layer network eq 0xc0a801ff) and
    cmp (u8 at 9 layer network eq 17) and
    cmp (u16 at 2 layer transport eq 9)
    ' action skbmod set etype 0x842

多于，

u32在16层网络eq 0xc0a801ff表示IP地址目的地192.168.1.255，
u8在9层网络eq 17表示UDP，
u16 在 2 层传输 eq 9 表示目标端口 9。
结果是将以太类型更改为 0x842

同样，互联网上的远程主机现在可以这样做来唤醒休眠的主机：

wakeonlan -i 192.0.2.2 -p 9 12:34:56:78:9a:bc

但它每次都会针对整个 LAN，因此当有多个睡眠 WOL 主机时，保持相同的端口并仅更改 MAC 地址就足够了。

其他可考虑的方法：

fwknopd安装在服务器上并且fwknop安装在客户端实现加密单身的数据包授权机制来触发命令。它可用于触发在路由器上运行wakeonlan/ 。etherwake

Debian LAN 数据包转发唤醒？

答案1

永久ARP

定向子网广播（从内核 4.19 开始）

相关内容