需要 iptables 端口转发来实现双向 UDP

Question

因此，您的代理服务器正在执行双重 NAT，双向伪装（通过隐藏另一个真实的对等体）。

必须在其（单个）接口上将其配置为路由器，否则将无法转发任何内容。假设接口名称为 eth0，其 IP 为 10.1.2.50：
```
echo 1 > /proc/sys/net/ipv4/conf/eth0/forwarding
```
现在由于双重 NAT，PREROUTING和/或中的转换POSTROUTING会阻止仅使用相同的过滤器来匹配流。因此，在PREROUTINGa中CONNMARK用于标记流，然后可以在中立即重用PREROUTING（并避免重复特定测试以简化管理），稍后在中POSTROUTING。-p udp仍然需要注意，因为我们要求SNAT和/或DNAT更改 UDP 端口。此后，只要不超时（通常第一次回复为 30 秒，然后为 3 分钟），conntrack 将处理所有未来交换
```
iptables -t nat -A PREROUTING -s 10.1.2.10 -p udp --dport 5005 -j CONNMARK --set-mark 0x1
iptables -t nat -A PREROUTING -p udp -m connmark --mark 0x1 -j DNAT --to-destination 10.1.2.20:5010
iptables -t nat -A POSTROUTING -m connmark --mark 0x1 -j SNAT --to-source 10.1.2.50
```
如果确实需要您也更改源端口，而不是让 conntrack 仅在需要时执行此操作，请将第三条规则更改为：
```
iptables -t nat -A POSTROUTING -p udp -m connmark --mark 0x1 -j SNAT --random-fully --to-source 10.1.2.50:32768-60999
```
（通常范围取自/proc/sys/net/ipv4/ip_local_port_range，并且--random-fully是必需的，否则不会执行任何操作，因为原始端口已在范围内）。
您也可以更改SNAT为MASQUERADE（并且不必声明服务器 IP）但只有--random可用。

更新：虽然上述规则按预期发挥作用，但通常connmark比赛和CONNMARK目标是与mark和MARK为一个如本博客所述更复杂的用法。这里简单使用时不需要它们。只需将它们全部替换为 resp。mark和MARK。这里 netfilter 的连接跟踪在处理第一个数据包（在 state 中创建 conntrack 条目）后已经处理了流量，而NEW无需要求它在 conntrack 条目中标记它。只需在（第一个）数据包中放置一个标记（表nat仅看到 state 中的数据包NEW）：

iptables -t nat -A PREROUTING -s 10.1.2.10 -p udp --dport 5005 -j MARK --set-mark 0x1
iptables -t nat -A PREROUTING -p udp -m mark --mark 0x1 -j DNAT --to-destination 10.1.2.20:5010
iptables -t nat -A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 10.1.2.50

示例捕获，包括错误（服务未运行等）：

00:28:36.476453 IP 10.1.2.10.56955 > 10.1.2.50.5005: UDP, length 5
00:28:36.476487 IP 10.1.2.50.35172 > 10.1.2.20.5010: UDP, length 5
00:28:36.476516 IP 10.1.2.20 > 10.1.2.50: ICMP 10.1.2.20 udp port 5010 unreachable, length 41
00:28:36.476522 IP 10.1.2.50 > 10.1.2.10: ICMP 10.1.2.50 udp port 5005 unreachable, length 41

00:32:28.597050 IP 10.1.2.10.35443 > 10.1.2.50.5005: UDP, length 5
00:32:28.597084 IP 10.1.2.50.36842 > 10.1.2.20.5010: UDP, length 5
00:32:32.503709 IP 10.1.2.20.5010 > 10.1.2.50.36842: UDP, length 7
00:32:32.503745 IP 10.1.2.50.5005 > 10.1.2.10.35443: UDP, length 7
00:32:41.704371 IP 10.1.2.20.5010 > 10.1.2.50.36842: UDP, length 4
00:32:41.704404 IP 10.1.2.50.5005 > 10.1.2.10.35443: UDP, length 4
00:32:41.704427 IP 10.1.2.10 > 10.1.2.50: ICMP 10.1.2.10 udp port 35443 unreachable, length 40
00:32:41.704433 IP 10.1.2.50 > 10.1.2.20: ICMP 10.1.2.50 udp port 36842 unreachable, length 40

请注意，您可以用这条简单的 socat 行替换所有这些（并且您不会得到任何 30 秒/3 分钟超时，但您会失去 ICMP 处理）：

socat UDP4-LISTEN:5005,range=10.1.2.10/32,fork UDP4:10.1.2.20:5010

Answer 1

因此，您的代理服务器正在执行双重 NAT，双向伪装（通过隐藏另一个真实的对等体）。

必须在其（单个）接口上将其配置为路由器，否则将无法转发任何内容。假设接口名称为 eth0，其 IP 为 10.1.2.50：
```
echo 1 > /proc/sys/net/ipv4/conf/eth0/forwarding
```
现在由于双重 NAT，PREROUTING和/或中的转换POSTROUTING会阻止仅使用相同的过滤器来匹配流。因此，在PREROUTINGa中CONNMARK用于标记流，然后可以在中立即重用PREROUTING（并避免重复特定测试以简化管理），稍后在中POSTROUTING。-p udp仍然需要注意，因为我们要求SNAT和/或DNAT更改 UDP 端口。此后，只要不超时（通常第一次回复为 30 秒，然后为 3 分钟），conntrack 将处理所有未来交换
```
iptables -t nat -A PREROUTING -s 10.1.2.10 -p udp --dport 5005 -j CONNMARK --set-mark 0x1
iptables -t nat -A PREROUTING -p udp -m connmark --mark 0x1 -j DNAT --to-destination 10.1.2.20:5010
iptables -t nat -A POSTROUTING -m connmark --mark 0x1 -j SNAT --to-source 10.1.2.50
```
如果确实需要您也更改源端口，而不是让 conntrack 仅在需要时执行此操作，请将第三条规则更改为：
```
iptables -t nat -A POSTROUTING -p udp -m connmark --mark 0x1 -j SNAT --random-fully --to-source 10.1.2.50:32768-60999
```
（通常范围取自/proc/sys/net/ipv4/ip_local_port_range，并且--random-fully是必需的，否则不会执行任何操作，因为原始端口已在范围内）。
您也可以更改SNAT为MASQUERADE（并且不必声明服务器 IP）但只有--random可用。

更新：虽然上述规则按预期发挥作用，但通常connmark比赛和CONNMARK目标是与mark和MARK为一个如本博客所述更复杂的用法。这里简单使用时不需要它们。只需将它们全部替换为 resp。mark和MARK。这里 netfilter 的连接跟踪在处理第一个数据包（在 state 中创建 conntrack 条目）后已经处理了流量，而NEW无需要求它在 conntrack 条目中标记它。只需在（第一个）数据包中放置一个标记（表nat仅看到 state 中的数据包NEW）：

iptables -t nat -A PREROUTING -s 10.1.2.10 -p udp --dport 5005 -j MARK --set-mark 0x1
iptables -t nat -A PREROUTING -p udp -m mark --mark 0x1 -j DNAT --to-destination 10.1.2.20:5010
iptables -t nat -A POSTROUTING -m mark --mark 0x1 -j SNAT --to-source 10.1.2.50

示例捕获，包括错误（服务未运行等）：

00:28:36.476453 IP 10.1.2.10.56955 > 10.1.2.50.5005: UDP, length 5
00:28:36.476487 IP 10.1.2.50.35172 > 10.1.2.20.5010: UDP, length 5
00:28:36.476516 IP 10.1.2.20 > 10.1.2.50: ICMP 10.1.2.20 udp port 5010 unreachable, length 41
00:28:36.476522 IP 10.1.2.50 > 10.1.2.10: ICMP 10.1.2.50 udp port 5005 unreachable, length 41

00:32:28.597050 IP 10.1.2.10.35443 > 10.1.2.50.5005: UDP, length 5
00:32:28.597084 IP 10.1.2.50.36842 > 10.1.2.20.5010: UDP, length 5
00:32:32.503709 IP 10.1.2.20.5010 > 10.1.2.50.36842: UDP, length 7
00:32:32.503745 IP 10.1.2.50.5005 > 10.1.2.10.35443: UDP, length 7
00:32:41.704371 IP 10.1.2.20.5010 > 10.1.2.50.36842: UDP, length 4
00:32:41.704404 IP 10.1.2.50.5005 > 10.1.2.10.35443: UDP, length 4
00:32:41.704427 IP 10.1.2.10 > 10.1.2.50: ICMP 10.1.2.10 udp port 35443 unreachable, length 40
00:32:41.704433 IP 10.1.2.50 > 10.1.2.20: ICMP 10.1.2.50 udp port 36842 unreachable, length 40

请注意，您可以用这条简单的 socat 行替换所有这些（并且您不会得到任何 30 秒/3 分钟超时，但您会失去 ICMP 处理）：

socat UDP4-LISTEN:5005,range=10.1.2.10/32,fork UDP4:10.1.2.20:5010

需要 iptables 端口转发来实现双向 UDP

答案1

相关内容