iptables-mod-tee이런 규칙을 추가하면 복제 후 go clone으로 패키징되나요? :
iptables -t mangle -A POSTROUTING -o eth2 -j TEE --gateway 192.168.0.3
아래 그림을 참조하세요. 위의 명령을 사용하면 모듈이 복제본 으로 iptables-mod-tee사용되는 것이 분명하다고 생각합니다.POSTROUTING chainmangle table원천하지만 패킷은 어떻게 되나요?뒤쪽에클론인가요? 즉, 클론이 어느 체인과 테이블로 이동하게 될까요?
편집: 답변에 설명된 복제된 패킷의 경로를 설명하기 위해 위 이미지에 빨간색 점선을 추가했습니다.
답변1
데이터 팩TEE를 통한 복제,conntrack에 의해 추적되지 않도록 설정되어 있습니다.,존재하지 못하도록 차단됨 다시 반복하라, 그리고 다음 날짜에 시작로컬 출력라우팅 스택의 일부이므로 raw/OUTPUT에서 먼저 볼 수 있습니다(이 내용도 참조할 수 있음).일반 네트워크 다이어그램의 Netfilter 및 패킷 흐름: 로컬 프로세스 이후에 진행됩니다.) 이는 라우팅된 패킷이 이전에 복사된 경우에도 동일합니다(예: mangle 또는 원래 PREROUTING에서). 이로 인해 일이 어려워지지만(그러나불가능하지 않다)은 추적되지 않고 원본과 구별하기 어렵기 때문에 extra nat와 같은 추가 처리를 허용합니다.
이것은 예이다추적하다(iptables-legacy를 사용하는 버전) OP와 유사한 설정에서 192.168.0.2에서 8.8.8.8까지 ping을 캡처합니다. 캡처는 iptables -t raw -A OUTPUT -j TRACE.original 을 사용하여 라우터에서 이루어집니다.라우팅됨패킷은 원본/사전 경로에서 캡처해야 하기 때문에 나타나지 않습니다. 따라서 위의 설명을 확인하여 출력에서 수행되었음을 알립니다.
TRACE: raw:OUTPUT:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1
TRACE: mangle:OUTPUT:policy:1 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1
TRACE: mangle:POSTROUTING:policy:2 IN= OUT=eth1 SRC=192.168.0.2 DST=8.8.8.8 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=39209 DF PROTO=ICMP TYPE=8 CODE=0 ID=3070 SEQ=1