IPCop 数据包处理

今天下午，我为客户更换旧防火墙时遇到了麻烦。我正在配置他们的新 IPCop 防火墙 (1.4.21)，并安装了 Zerina OpenVPN 插件。

我需要做的：有三个网络接口，目前设置为红色（WAN）、绿色（LAN，192.168.20.0/24）和橙色（远程网络 10.1.20.0/24）。橙色接口是到另一个组织的直接光纤链路。

简单描述：此时流量和网络似乎已正确配置，但我在 LAN 上有许多（150 多个）特定 IP，当访问 10.1.20.x 网络上的资源时，需要对其进行处理，使其看起来来自 10.1.20.0/24 网络（并返回正确传送的流量）。远端的路由已在较早时配置，应该没问题，但我需要重定向所有发往这些 IP 的数据包，使其最终到达正确的目的地。

寻址是固定且可预测的（即 192.168.20.125 -> 10.1.20.125）。我需要通过 /etc/rc.local 将我拥有的所有规则插入 IPCop 规则集，我知道，我只是不确定我应该如何构造它。有 CUSTOMOUTPUT 和 CUSTOMINPUT 目标，两者目前都只包含将数据包重定向到 OVPNOUTPUT/OVPNINPUT 目标的单个规则，所以我猜我应该插入一条规则，匹配发往 10.1.20.x 网络的出站数据包并重定向到新目标（可能称为 TO-ORANGE），并在 CUSTOMINPUT 顶部插入一条规则，重定向到 FROM-ORANGE 目标。在这些目标下，我将有执行 IP 匹配和处理规则。

我这样做对吗？如果是这样，我对 mangle 不太熟悉，希望能看到如何编写源 IP 重写的示例。如果不是，您建议怎么做？

短暂性失眠！

编辑：我还注意到 nat 表有 CUSTOMPREROUTING 和 CUSTOMPOSTROUTING 目标，我想我也可以在那里发布规则......