求教：iptables 做port trigger

falcon_13

1。我想请教下，如何用iptables 做port trigger啊？
2。我在网上看到一条命令：
iptables -A FORWARD -o eth0 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 3000 --trigger-relate 6880-6890
iptables -t nat -A PREROUTING -j TRIGGER --trigger-type dnat
哪位知道是什么意思啊

yd0412

原帖由 falcon_13 于 2007-5-11 19:02 发表于 1楼  
1。我想请教下，如何用iptables 做port trigger啊？
2。我在网上看到一条命令：
iptables -A FORWARD -o eth0 -j TRIGGER --trigger-type out --trigger-proto udp --trigger-match 3000 --trigger-relate 68 ...

你好，触发是对两类数据包的操作utput 的包 和 input 的包。第一条命令主要是建立一个触发链表，此链表记录一些触发信息，以便后续操作。如你写的命令，对 output包 如果是udp协议，且目的端口是3000的话，那么就触发开启6880-6890端口，建立触发链表，记录信息主要有原ip，协议，触发端口（即3000），打开端口（即6880-6890）。对 input 包的处理，则在第二条命令中实现  iptables -t nat -A PREROUTING -j TRIGGER --trigger-type dnat 此命令会查找触发链表，如果是udp包，且目的端口在6880-6890内的话，就会进行dnat操作，默认ip是链表记录的原ip。

当然，链表有一个定时器，如果提供接口的话，可以修改此定时器的value

platinum

这个 target 主要用于什么用途？

yd0412

原帖由 platinum 于 2007-5-14 09:44 发表于 3楼  
这个 target 主要用于什么用途？

你好，这个 target 主要用来动态开启一些端口，外网可以通过这些端口主动连至内网。当然前提是 内网 “触发”。

platinum

那么，这个是不是有点类似 ALG（Application Layer Gateway） 的感觉了？就像 ip_nat_ftp 那样？

yd0412

原帖由 platinum 于 2007-5-14 16:43 发表于 5楼  
那么，这个是不是有点类似 ALG（Application Layer Gateway） 的感觉了？就像 ip_nat_ftp 那样？

有点类似，从实现来说：两者都需要记录一些信息，为后续包做处理；从功能来说：都是为了实现nat穿透。
但具体的实现，两者又有很明显的差别。alg针对某些特定协议，且处理会涉及一些“应用层数据”；而trigger针对一般协议，利用iptables提供的接口，针对包头就可以了，不需要“应用层数据”做任何处理 。

以上仅是个人认识，有错误之处，请各位指点。

platinum

这个 module 不错，又学到一招，谢谢 yd0412

falcon_13

谢谢，问题解决了，我现在想在里面加上个时间，就是在发出的包记个时间，收回的包也记个时间，用来设置类似超时的东西，我该怎么做啊

yd0412

程序里面本身就有定时器，你可以添加参数来制定定时时间，或者通过读写/proc文件来指定定时器时间。

platinum

原帖由 falcon_13 于 2007-5-31 18:38 发表于 8楼  
谢谢，问题解决了，我现在想....

如果每一位提问的朋友都不仅仅是在索取，也去付出，那就更好了……