iptables我与队列结合使用,net-filter以便以编程方式更改数据包。
我iptables在 ubuntu 实验室上使用规则,其中 2 个 NIC eth0 连接到互联网,eth1 连接到 LAN 我使用了众所周知的 iptables 规则进行 NAT,并在 eth0 上进行伪装。
sudo iptables --table nat --append POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -append FORWARD -i eth1 -j ACCEPT.
sudo iptables -t mangle -A PREROUTING -j NFQUEUE --queue-num 0
sudo iptables -t mangle -A OUTPUT -j NFQUEUE
这 4 条规则用于帮助我捕获程序内的数据包并修改数据包或删除我想要使用的内容nfq_set_verdict。
事实上一切都按照我的预期进行,那就是三种协议类型icmp,tcp数据udp包被修改并重新注入。然后在队列中将 eth0 退出到互联网,以 eth0 ip 地址作为源地址(使用 MASQUERADE NAT 规则的效果)。
对于所有数据包都是如此,除了:ICMP ping回复或 TCP确认数据包。
他们使用 eth1 上的 LAN 设备的私有 IP - 192.168.xx 退出到互联网,并使用此私有源 IP 地址到达另一端。
有任何想法吗。谢谢。