自制迷你路由器过程中的常见问题的一些经验分享
端午假期搞了一块带有Wifi模块的开发板,本来这是用于研发Android终端的,我本无意于此,因此就拿来做迷你路由器了,当然,我事先知道它肯定可以很方便的灌入Linux内核以及应用程序,否则光这一步就够我喝一壶的了。
所谓的一个路由器,使用Linux来做实在太方便了,对照着家里的TP-LINK,无非就是实现以下的模块,甚至都不用写一行C代码:
1.实现路由添加,修改,删除操作界面
界面可以使用PHP来做,当然也可以使用字符界面,不过这样做看起来没有PHP做出来的专业。底层建议使用iproute2工具集而不是route命令,因为iproute2可以很方便的配置复杂的路由策略,比如策略路由,force-onlink路由等。
2.防火墙模块
底层使用iptables命令设置filter表,然后用PHP做一个前端接口。
3.地址转换模块
底层使用iptables命令设置nat表,然后用PHP做一个前端接口。这一个模块完全是仿效一般的家用路由器来的,这种路由器一般用于一个家庭多台机器的上网,因此有必要将内网地址MASQUERADE到唯一的公网地址。当然如果你本身就有很多公网IP且无意隐藏你的内部网络,那真的就不需要这个了。
4.流控模块
底层使用iptables命令以及tc命令,基于IP地址,五元组,MAC信息等进行流控,用PHP做一个前端配置接口。
5.NAT穿越模块
这个模块不得不多说一些,毕竟对于我等喜欢用BT,电驴的那是没有它不行的啊。说实话,我还真想将基于hack技术的NAT穿越技术用到自制的路由器上,后来发现这太难了,还不能保证每次都能成功,其实一直以来我就对这种点子不是很感冒,因此就想其他的办法。穿越NAT其实是可以用另一种技术来替代的,那就是设置一个DNAT,毕竟路由器都是我自己的,我想怎么搞就怎么搞,设置一个DNAT是容易的,但是问题是我到底需要将内网的哪些地址和端口开放呢?如果全部开放,那还不如当初不设置SNAT呢,然而不设置SNAT又涉及到共享公网IP的问题...
于是,想了好久终于想出一个看起来还不错的主义,那就是让内网主机主动通报自己的IP和需要映射的端口,路由器上始终运行一个接收进程即可,接收到某一主机的通报后,就将以下规则设置到路由器上:
iptables -t nat -A PREROUTING -i 外网口 -d 唯一的公网地址 -p 需要映射的协议 --dport 需要映射的端口 -j DNAT --to-destination 通报上来的内网地址
于是,这就需要在每一个主机上放置一个用于通报的程序。想了一下,这样还是很麻烦,还不如将工作留给路由器呢,也就是说由路由器主动询问内部网,看谁有需要映射的端口,这样也不行,因为这样需要内网主机的回答,还需要编程。于是索性使用nmap每隔一段时间扫一下内网的熟知的P2P端口,然后将“发现”的端口动态设置在路由器上...花了一下午之间,终于可行了,后来问题又来了,问题在于何时删除这些映射...维持一个状态机太复杂了,于是我就坐到此为止了,反正能用即可。
为何花了一下午呢?原来犯了一个低级错误,我在VMWare里面试验nmap扫描,发现得到的结果OS都是MacOS,问题恰恰就在这,因为我用于试验的机器运行的还真都是MacOS...最终发现所有的结果OS都是我的那个VMWare的宿主机,因为我的VMWare中的Linux的网卡模式是NAT,而VMWare的NAT是由宿主机在用户态完成的,它实则就是一个代理,因此nmap的结果表现不出目标机的真实信息。
后来仔细研究了一下家里的TP-LINK路由器,发现了一个叫做uPnP的协议,噢,原来这个协议就是实现我那个功能的啊,太孤陋寡闻了...还好意思说自己网络技术很厉害,惭愧啊。于是直接搞uPnP,顿时完美了。
6.IP/MAC绑定模块
同样用iptables,没别的比这更方便。
7.IPSec穿越模块
我基本不使用IPSec,因此忽略。
8.日志模块
很重要,虽然我一直都不知道为何日志很重要...
9.SSH开放
最后,我没有忘记给自己开放一个SSH,否则调试就麻烦了。