Iptables DNAT实现broadcast与unicast之间相互映射

已于 2023-09-13 10:36:20 修改
阅读量795 收藏 1
点赞数 1
文章标签: 网络 linux 运维
于 2022-05-29 15:04:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxd2001/article/details/125031113
版权

shixudong@163.com

疫情期间,因工作需要远程唤醒办公电脑(已通过wireguard组网),以前通过在家里树莓派上运行wolf(Wake on Lan Forwarder)实现网络唤醒包的接收和转广播来唤醒家里电脑。现在则需要将唤醒包转发到异地后广播以唤醒办公电脑,顺便试一下新方法,看看能否不借助转发软件(如专用wolf或通用socat)而直接通过iptables DNAT解决。经过网上搜索资料,反复验证测试,发现iptables确实能通过DNAT实现unicast与broadcast之间相互映射,从而轻易解决远程唤醒异地广播问题,现把问题解决过程分享如下。

一、DNAT实现unicast到broadcast映射

关于DNAT实现unicast到broadcast的映射,网上资料较多,已有成熟解决方案,本人在这里主要起到收集整理资料的作用,没花多少脑子。解决方案根据kernel版本不同分两种情况:
1、sysctl支持bc_forwarding参数的linux较新内核,同时通过如下两条命令即可允许iptables将unicast DNAT到broadcast。
sudo sysctl -w net.ipv4.conf.eth0.bc_forwarding=1
sudo sysctl -w net.ipv4.conf.all.bc_forwarding=1

几点注意事项:
(1)    命令中eth0对应DNAT前数据包的入口设备(cisco是在广播包的出口接口设置ip directed-broadcast),必须是三层设备(在网桥情况下必须是桥设备br0,而不能是桥端口设备eth0)
(2)    以上两条命令缺一不可
(3)    由于linux自身的IP路由机制,DNAT转换后的broadcast必须是定向广播,而不能是本地广播(255.255.255.255)

2、不支持bc_forwarding参数的linux老内核,利用一个平时不用的单播IP,在Linux上为这个IP设置一个静态ARP表项(ff:ff:ff:ff:ff:ff),然后通过iptables将unicast DNAT到该单播IP,即可将三层unicast IP转换成二层以太网广播地址,可达到和1同样的效果。

上述两种情况的区别在于,前者是真正的二层和三层广播,不仅能用于远程网络唤醒,还可用于广播UDP数据;而后者在三层上不是广播,一般只能用于远程网络唤醒(网卡硬件层面处理)。

顺便提一下,如仅在内部网络上使用远程唤醒,实际上并不需要借助iptables,只需在远端linux作上述配置,便可直接针对远程广播地址或特定的单播IP发送唤醒包。

二、DNAT实现broadcast到unicast映射

网上很难搜到DNAT成功实现broadcast到unicast映射的相关资料,但我在树莓派上却能一次性成功,这种感觉很怪异,难道我的树莓派有特殊配置。于是在虚拟机上测试了一下broadcast到unicast的DNAT映射,确实和网上说的一样,无法成功。经对比分析,树莓派启用了br_netfilter模块,试着在树莓派上卸载该模块(sudo rmmod br_netfilter),再次测试,果然无法成功。
根据Linux网络相关源码分析,Linux网卡接收数据包时,网卡驱动调用eth_type_trans对数据包进行预处理,该函数通过比较目标MAC地址判断二层包类型并进行标记:PACKET_BROADCAST(二层广播地址)、PACKET_MULTICAST(二层多播地址)、PACKET_OTHERHOST(目标MAC非本网卡MAC)、PACKET_HOST(目标MAC为本网卡MAC)。ip_forward在包类型不是PACKET_HOST时,一律DROP,而iptables并不能修改二层包类型,在不启用br_netfilter的情形下,iptables对broadcast做DNAT时,由于broadcast包类型不为PACKET_HOST无法被三层转发,导致DNAT最终无法成功。
启用br_netfilter后,在二层调用iptables对broadcast做DNAT时,br_netfilter会做一些善后处理,如判断DNAT后数据包目的地和进入包在同一网桥可通过二层直接转发出去;如两者不在同一网桥,br_netfilter会将DNAT后数据包的二层目标地址修改为桥MAC,并将原broadcast包类型修改为PACKET_HOST,后续交由三层处理并顺利通过ip_forward完成转发。所以DNAT实现broadcast到unicast映射的最简单办法就是启用br_netfilter模块。
但上述方法存在一个不足,由于桥转发本身的内在机制,当DNAT后数据包目的地和初始进入包都位于网桥同一物理端口时,无法顺利二层转发,当然也无法实现broadcast到unicast的DNAT映射了。为避免这种情况,仍需设法回到三层来处理DNAT,或者说在不启用br_netfilter模块的前提下,实现broadcast到unicast的DNAT映射。
根据上文介绍和相关源码分析,可通过ebtables将二层广播地址修改为桥MAC,并将broadcast包类型修改为PACKET_HOST,然后强制移交三层处理DNAT映射,这样既绕开了网桥同一端口无法转发的机制,也解决了ip_forward DROP包的限制。经验证,ebtables BROUTING使用-j redirect --redirect-target DROP可对需要DNAT的broadcast包进行redirect后移交三层iptables实现broadcast到unicast的DNAT映射。

三、特别提醒
1、第一部分用DNAT实现unicast到broadcast映射,通常都在远程网络实现,因而不会涉及桥接。但如需在本地网络实现,正好相反,通常仅在桥接时才有意义,譬如将DHCP Offer包从单播改成广播,此时必须考虑桥接的影响,除了按第一部分操作外,还得参照第二部分进行桥接处理(一般启用br_netfilter即可),否则unicast包在二层就转发出去了,压根没有机会经由三层DNAT转换成broadcast包。
2、第二部分用DNAT实现broadcast到unicast映射,因本地广播不能跨网,定向广播跨网后实质上不再被视为广播,所以仅针对本地网络有效,跨网情况毫无意义。因转换方向不同,故无需进行第一部分操作,而且broadcast包既可以是定向广播也可以是本地广播。
3、要使DNAT成功实现broadcast到unicast的映射,上文提到的br_netfilter模块和ebtables工具都必须在bridge环境下方能起作用。如Linux没有采用bridge,就无法通过DNAT实现broadcast到unicast的映射,此时可通过iptables的TEE变通实现broadcast到unicast的转换(详见iptables TEE使用注意事项)。

四、网络唤醒包的分流

让我们言归正传,重新聚焦到远程唤醒包的异地转发实现上,原先网络唤醒包只要发往一处,现在则希望同时发往异地,也就是说需要对唤醒包进行复制和转发。貌似可通过TEE目标实现多路转发,然而由于TEE包不能改变复制包的三层地址,而且TEE包本身不使用conntrack,直接通过ip_local_out发出,很难对其进行必要的NAT处理,故原始包和复制包使用相同的目标IP(对于远程唤醒包来说,一般多为iptables所在机器IP),导致根本不可能送达异地。可行的办法是通过nat表PREROUTING链采用string匹配不同唤醒电脑的MAC地址加以分流。
sxd2001
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Docker与iptables实现bridge方式网络隔离与通信操作
01-08
Docker提供了bridge, host, overlay等多种网络。同一个Docker宿主机上同时存在多个不同类型的网络,位于不同网络中的容器,彼此之间是无法通信的。 Docker容器的跨网络隔离与通信,是借助了iptables的机制。 iptables的filter表中默认分为INPUT, FORWARD和OUTPUT共3个链。 Docker在FORWARD链中(forward到自定义的链),还额外提供了自己的链,以实现bridge网络之间的隔离与通信。 Docker的基本网络配置 当 Docker 启动时,会自动在主机上创建一个 docker0 虚拟网桥,实际上是 Linux 的一个
通过iptables实现端口转发和内网共享上网.docx
09-30
通过iptables实现端口转发和内网共享上网
iptables防火墙的研究与实现.pdf
06-15
iptables防火墙的研究与实现.pdf 对做Linux防火墙的毕业设计和想了解Linux防火墙有帮助,需要有点基础哦
iptables 做内网映射到公网地址
01-09
案例:在一组集群中,只有内网的服务器需要走反代的公网出去。 内网某台服务器ip:192.168.142.82 反代的内网ip:192.168.142.90 1.内网服务器的网卡的网关设置成192.168.142.90 #cat ifcfg-enp2s0f1 TYPE=Ethernet PROXY_METHOD=none BROWSER_ONLY=no BOOTPROTO=none DEFROUTE=yes IPV4_FAILURE_FATAL=no IPV6INIT=yes IPV6_AUTOCONF=yes IPV6_DEFROUTE=yes IPV6_FAILURE_FATAL=no IP
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables之dnat,snat原理及配置
wayees的博客
01-12 931
准备三台机器: A:10.35.78.64 iptables:10.35.78.69,172.18.101.111 B:172.18.101.222 iptables的黑白名单策略的区别: 黑名单: [root@iptables ~]# iptables -I INPUT -s 10.35.78.64 -j REJECT [root@iptables ~]# iptables -nvL Chain INPUT (policy ACCEPT 37 packets, 3497 bytes) pkts byt
Iptables
weixin_33736832的博客
03-25 183
iptables1:Iptables/netfiter是linux下工作在网络层的防火墙,但是他支持连接追踪(状态检测).很多防火墙资料但中,都把iptables和netfiter叫做防火墙,其实netfiter是linux内核中实现的包过滤防火墙的内部结构,不以程序或文件的形式存在,属于内核态(内核空间),而iptables是管理防火墙命令的工具,是一个程序,iptable...
iptables的转发规则
weixin_33719619的博客
11-23 546
在http://chenx1242.blog.51cto.com/10430133/1874225这个文章里,我们配置了mq而且在后面的web界面里验证了已经有消息队列生成。但是细心的朋友应该会发现一个BUG,实验机器是2核4G无外网,但是是怎么登陆web界面的呢?因为消息队列是一个很重要的一环啊,它就好比食道一样,食物通过食道才能到达胃进行吸收,同理activemq也要好好...
docker常用命令及镜像的制作与上传
EucalyptusA的博客
08-28 738
安装docker docker安装 docker加速 docker-ce的配置文件是/etc/docker/daemon.json,此文件默认不存在,需要我们手动创建并进行配置,而docker的加速就是通过配置此文件来实现的。 docker的加速有多种方式: docker cn systemctl start docker cat > /etc/docker/daemon.json <<EOF { "registry-mirrors": ["https://registry.do
H12-221
setfacl的博客
06-09 1345
1.IGMP 版本之间的差异是:(多选) A.IGMPv1/v2 不能自己选举查询器,而 IGMPv3 可以 B.对于成员离开,IGMPv2/v3 能够主动离开,而 IGMPv1 不能。 C.IGMPv1/v2/v3 都不能支持 SSM 模型 D.IGMPv1 不支持特定组查询,而 IGMPv2 支持。 Answer: BD 2 在 RSTP 协议中定义了与 STP 中不同的端口角色,其中不能处于转发状态的端口角色的是: (多选) A Root Port B. Designated Port C. Back
Docker实战——项目容器化改造实战
DK_ing的博客
08-15 1631
What-什么是容器 容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。开发人员在自己笔记本上创建并测试好的容器,无需任何修改就能够在生产系统的虚拟机、物理服务器或公有云主机上运行。 容器与虚拟机 谈到容器,就不得不将它与虚拟机进行对比,因为两者都是为应用提供封装和隔离。 容器由两部分组成: 应用程序本身 依赖:比如应用程序需要的库或其他软件...
笔记 STP
weixin_33966095的博客
03-01 341
STP -定义-作用-类型1、802.1d - STP :生成树协议 PVST/PVST+(思科)2、802.1w - RSTP :快速生成树协议 PV-RSTP(思科)3、802.1s - MSTP :多生成树协议-报文 PVST:per-vlan STP,即在每个 VLAN 内部都运行一个 STP (802.1d); STP的工作过程:1、确定交换机的...
华工软院IBM LinuxONE Community Cloud云计算实验文档
weixin_30886233的博客
05-18 1298
此博文介绍华南理工大学软件学院“云计算开发与应用”实验课。本人在大二期间选修了这门课,实验课内容是把已有的app部署到云服务器上运行。虽然实验内容很简单(作者大概一个小时就做完了两天的实验内容),但觉得这次实验是我在华工期间做过的为数不多有意义的实验之一,故作此博客记录实验详细过程。此博客以linux环境为准。 实验所需材料与环境配置: 本地环境:Manjaro 18.0.4 (ke...
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
fiberroad的博客
04-30 460
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 464
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 436
createWs("测试数据", (res) => {
黑马 - websocket搭建在线聊天室
白羊座的橙子
05-01 1094
websocket对象创建websocket对象相关事件websocket 对象提供的方法## 2、服务端apiTomcat 的7.0.5版本开始支持 websocket , 并且实现了Java websocket 规范。Java websocket 应用由一系列的 Endpoint组成。Endpoint 是一个java对象,代表websocket连接的一段。对于服务端,我们可以视其为处理具体websocket消息的接口。
c# winform快速建websocket服务器源码 wpf快速搭建websocket服务 c#简单建立websocket服务 websocket快速搭建
最新发布
weijia3624的专栏
05-02 943
完整源码下载----->随着互联网技术的飞速发展,实时交互和数据推送已成为众多应用的核心需求。传统的HTTP协议,基于请求-响应模型,无法满足现代Web应用对低延迟、双向通信的高标准要求。在此背景下,WebSocket协议应运而生,它为Web应用提供了全双工、长连接的通信方式,极大地提升了用户体验。本文将探讨WebSocket通信技术的优势,并阐述为何选择C#作为服务端开发语言的几大理由。
用 Python 进行渗透测试
黑战士的博客
04-28 1092
编写一个端口扫描器Python 提供了访问 BSD 套接字的接口Web 服务器可能位于 TCP 80 端口、电子邮件服务器在 TCP 25 端口、FTP 服务器在 TCP 21 端口TCP 全连接扫描为了抓取目标主机上应用的 Banner,找到开放的端口后,向它发送一个数据串并等待响应。
iptables DNAT 啥意思
12-29
iptables DNATiptables命令中的一个功能,表示数据包网络地址转换(DNAT)。DNAT允许您将接收到的数据包的目标IP地址或端口号更改。这在网络应用程序需要重新定向到不同的IP地址或端口号时非常有用。例如,您可以将来自特定源IP地址的数据包重定向到另一个IP地址或端口号。请注意,DNAT通常与SNAT(源网络地址转换)一起使用,以实现更复杂的网络流量控制和安全策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值