Iptables on Rickyhttps://linzeyan.github.io/zh-tw/categories/iptables/Recent content in Iptables on RickyHugo -- gohugo.iozh-twWed, 04 Dec 2019 11:08:04 +0800用 iptables 和 ip rule 做負載均衡https://linzeyan.github.io/zh-tw/posts/2019/20191204-ip-tables-rule-load-balance/Wed, 04 Dec 2019 11:08:04 +0800https://linzeyan.github.io/zh-tw/posts/2019/20191204-ip-tables-rule-load-balance/<ul> <li><a href="https://blog.outv.im/2019/ip-tables-rule-load-balance/" target="_blank" rel="noopener">用 iptables 和 ip rule 做負載均衡</a></li> </ul> <h4 id="操作">操作</h4> <p>這裡以一台透過有線 + 無線出口連線到網際網路的 Arch Linux 裝置為例。共有兩個出口,分別使用網卡 eth0 和 eth1。大致對應關係如下:</p> <ul> <li>標記 10 (0xa) - 路由表 #110 - 使用 eth0 出口</li> <li>標記 11 (0xb) - 路由表 #111 - 使用 eth1 出口</li> </ul> <p>我們會根據封包上的標記值判斷它應該走哪個出口。首先,使用 ip rule 為每個標記值指定一張路由表。</p> <p>通常預設路由表的權重是 32768。為了讓我們的路由表生效,需要將權重調高一些(例如 31000)。</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-shell" data-lang="shell"><span style="display:flex;"><span><span style="color:#75715e"># 讓帶標記 10 (0xa) 的封包使用 110 號路由表,權重 31000</span> </span></span><span style="display:flex;"><span>ip rule add fwmark <span style="color:#ae81ff">10</span> table <span style="color:#ae81ff">110</span> prio <span style="color:#ae81ff">31000</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 讓帶標記 11 (0xb) 的封包使用 111 號路由表,權重 31000</span> </span></span><span style="display:flex;"><span>ip rule add fwmark <span style="color:#ae81ff">11</span> table <span style="color:#ae81ff">111</span> prio <span style="color:#ae81ff">31000</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 如果你的連線更多,可以繼續新增標記 &lt;-&gt; 路由表的對應關係</span> </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># #110 路由表的路由</span> </span></span><span style="display:flex;"><span>ip route add 10.20.0.0/24 dev eth0 table <span style="color:#ae81ff">110</span> </span></span><span style="display:flex;"><span>ip route add default via 10.20.0.254 table <span style="color:#ae81ff">110</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># #111 路由表的路由</span> </span></span><span style="display:flex;"><span>ip route add 10.25.0.0/24 dev eth1 table <span style="color:#ae81ff">111</span> </span></span><span style="display:flex;"><span>ip route add default via 10.25.0.254 table <span style="color:#ae81ff">111</span> </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 如果這條連線已經被標記,將標記設定到封包上</span> </span></span><span style="display:flex;"><span>iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark </span></span><span style="display:flex;"><span><span style="color:#75715e"># 如果封包已經有標記,直接放行</span> </span></span><span style="display:flex;"><span>iptables -t mangle -A OUTPUT -m mark ! --mark <span style="color:#ae81ff">0</span> -j ACCEPT </span></span><span style="display:flex;"><span><span style="color:#75715e"># 如果封包沒有被標記</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 把封包標記為 10 (0xa)</span> </span></span><span style="display:flex;"><span>iptables -t mangle -A OUTPUT -j MARK --set-mark <span style="color:#ae81ff">10</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 每 2 個封包就把一個封包標記為 11 (0xb)</span> </span></span><span style="display:flex;"><span>iptables -t mangle -A OUTPUT -m statistic --mode nth --every <span style="color:#ae81ff">2</span> --packet <span style="color:#ae81ff">0</span> -j MARK --set-mark <span style="color:#ae81ff">11</span> </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 如果你有三條出口,這裡可以類似於</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># iptables -t mangle -A OUTPUT -j MARK --set-mark 10</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 0 -j MARK --set-mark 11</span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 1 -j MARK --set-mark 12</span> </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 把封包的標記儲存到整條連線上,讓整個連線使用同一個出口</span> </span></span><span style="display:flex;"><span>iptables -t mangle -A OUTPUT -j CONNMARK --save-mark </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span><span style="color:#75715e"># 讓封包的出口與我們選擇的一致</span> </span></span><span style="display:flex;"><span>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE </span></span><span style="display:flex;"><span>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE </span></span></code></pre></div><p>之後可以用 <code>iptables -L OUTPUT -t mangle</code> 看一下規則是否正確,再用 Wireshark 驗證連線是否真的分流。</p>再戰營運商快取:使用 iptables 對付快取劫持https://linzeyan.github.io/zh-tw/posts/2019/20191007-fuck-cmcc/Mon, 07 Oct 2019 10:41:08 +0800https://linzeyan.github.io/zh-tw/posts/2019/20191007-fuck-cmcc/<ul> <li><a href="https://v2c.tech/Article/FUCK-CMCC" target="_blank" rel="noopener">再戰營運商快取:使用 iptables 對付快取劫持</a></li> </ul> <h5 id="起因">起因</h5> <p>與移動的快取問題進行鬥爭要追溯到兩年前,那時因為移動竟然連 cnpm 的資料都進行快取。更離譜的是:移動的快取伺服器不但速度慢到堪比萬年王八跑馬拉松,還經常當機,導致我只想安安靜靜寫程式卻不得不面對一片鮮紅的報錯。</p> <h5 id="解決">解決</h5> <p><code>iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP</code></p> <p>考慮到可能還真的有其他伺服器送來的正常封包 TTL 也在 20-30 的區間,應該再加一層判斷。對比移動的 302 劫持封包和正常的 302 跳轉封包後,發現移動的劫持封包狀態位包含 FIN、PSH、ACK,而正常的 302 跳轉封包通常不會這三個都有。</p> <p>因此在 iptables 規則中加入是否包含 FIN、PSH、ACK 的判斷:</p> <p><code>iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 --tcp-flags ALL FIN,PSH,ACK -j DROP</code></p> <p>這樣應能在丟棄劫持封包的同時,盡可能降低誤傷正常封包的可能性。</p>