openwrt-IPtables-Mangle
OpenWrt یکی از محبوبترین سیستمعاملهای متنباز برای روترها و دستگاههای شبکهای است که قابلیتهای بسیار زیادی برای پیکربندی و مدیریت شبکه ارائه میدهد. یکی از ابزارهای قدرتمند در OpenWrt برای مدیریت بستههای شبکه، جدول Mangle در iptables است. این جدول به شما امکان میدهد تا بستهها را قبل از رسیدن به مقصد نهایی تغییر دهید. در این مقاله، ما به بررسی جزئیات جدول Mangle، اهداف مختلف آن و نحوه استفاده عملی از این جدول در OpenWrt خواهیم پرداخت.
فصل ۱: معرفی جدول Mangle
جدول Mangle یکی از چهار جدول اصلی در iptables است که برای دستکاری بستهها استفاده میشود. برخلاف جداول دیگر، جدول Mangle عمدتاً برای تغییر فیلدهای بستهها و نه برای فیلترینگ یا NAT استفاده میشود. به عبارت دیگر، میتوانید از این جدول برای تنظیم فیلدهای خاصی مانند TOS (Type of Service) و TTL (Time To Live) استفاده کنید.
فصل ۲: اهداف جدول Mangle
هدف TOS (Type of Service)
هدف TOS برای تنظیم یا تغییر فیلد نوع خدمات در بستهها استفاده میشود. این فیلد برای تعیین اولویت ترافیک و نحوه مسیریابی بستهها در شبکه کاربرد دارد. با این حال، باید توجه داشت که این فیلد در بسیاری از شبکهها و روترها نادیده گرفته میشود و تغییر آن ممکن است تاثیر زیادی نداشته باشد. مثال زیر نحوه تنظیم فیلد TOS را نشان میدهد:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos 0x10این دستور فیلد TOS تمام بستههای ورودی به پورت ۸۰ (HTTP) را به مقدار 0x10 تنظیم میکند.
هدف TTL (Time To Live)
هدف TTL برای تغییر مقدار TTL بستهها استفاده میشود. TTL تعداد هابهایی است که بسته میتواند قبل از انقضا و حذف شدن طی کند. تغییر TTL میتواند در مواقعی که میخواهید بستهها فقط تا یک محدوده خاص از شبکه حرکت کنند، مفید باشد. مثال زیر نحوه تغییر TTL بستهها را نشان میدهد:
iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64این دستور TTL تمام بستههای خروجی را به مقدار ۶۴ تنظیم میکند.
هدف MARK
هدف MARK برای تنظیم مقادیر علامت ویژه به بستهها استفاده میشود. این علامتها میتوانند توسط برنامههای iproute2 شناسایی شوند تا مسیریابی متفاوتی بر اساس علامتهای تعیین شده انجام شود. همچنین میتوان بر اساس این علامتها محدودیت پهنای باند و صفبندی بر اساس کلاس را انجام داد. مثال زیر نحوه مارک کردن بستهها را نشان میدهد:
iptables -t mangle -A PREROUTING -i br-lan -j MARK --set-mark 1این دستور تمامی بستههای ورودی به پورت br-lan را با علامت ۱ مارک میکند.
فصل ۳: کاربردهای عملی جدول Mangle در OpenWrt
مدیریت پهنای باند
یکی از کاربردهای مهم جدول Mangle مدیریت پهنای باند است. با مارک کردن بستهها میتوان صفبندی و اولویتبندی ترافیک را انجام داد. به عنوان مثال، میتوان بستههای مربوط به ترافیک VoIP را مارک کرد و به آنها اولویت بیشتری داد:
iptables -t mangle -A POSTROUTING -p udp --dport 5060 -j MARK --set-mark 2این دستور بستههای خروجی مربوط به پروتکل SIP (پورت ۵۰۶۰) را با علامت ۲ مارک میکند.
بهبود امنیت شبکه
با استفاده از جدول Mangle میتوان بستههای مخرب را شناسایی و دستکاری کرد. به عنوان مثال، میتوان بستههایی که از منابع مشکوک میآیند را مارک کرد و آنها را به یک صفبندی خاص هدایت کرد:
iptables -t mangle -A PREROUTING -s 192.168.1.100 -j MARK --set-mark 3این دستور تمامی بستههای ورودی از آدرس IP 192.168.1.100 را با علامت ۳ مارک میکند.
مدیریت ترافیک شبکه
جدول Mangle میتواند برای مدیریت ترافیک شبکه و اطمینان از تخصیص مناسب منابع استفاده شود. به عنوان مثال، میتوان ترافیک HTTP را مارک کرد و آن را به یک صفبندی خاص هدایت کرد تا اطمینان حاصل شود که ترافیک وب به درستی مدیریت میشود:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 4این دستور تمامی بستههای ورودی به پورت ۸۰ را با علامت ۴ مارک میکند.
فصل ۴: پیادهسازی عملی در OpenWrt
تنظیمات اولیه
برای استفاده از جدول Mangle در OpenWrt، ابتدا باید اطمینان حاصل کنید که iptables و ماژولهای مربوطه نصب شدهاند. این ابزارها معمولاً به صورت پیشفرض در OpenWrt نصب میشوند، اما اگر نصب نیستند، میتوانید آنها را با دستور زیر نصب کنید:
opkg update
opkg install iptables iptables-mod-ipoptتنظیم فیلد TOS
برای تنظیم فیلد TOS در بستهها، میتوانید از دستور زیر استفاده کنید:
iptables -t mangle -A PREROUTING -p tcp --dport 443 -j TOS --set-tos 0x20این دستور فیلد TOS تمامی بستههای ورودی به پورت ۴۴۳ (HTTPS) را به مقدار 0x20 تنظیم میکند.
تغییر فیلد TTL
برای تغییر فیلد TTL بستهها، از دستور زیر استفاده کنید:
iptables -t mangle -A POSTROUTING -j TTL --ttl-inc 1این دستور مقدار TTL تمامی بستههای خروجی را یک واحد افزایش میدهد.
مارک کردن بستهها
برای مارک کردن بستهها با استفاده از جدول Mangle، از دستور زیر استفاده کنید:
iptables -t mangle -A PREROUTING -i eth0 -j MARK --set-mark 5این دستور تمامی بستههای ورودی از اینترفیس eth0 را با علامت ۵ مارک میکند.
پیادهسازی محدودیت پهنای باند
برای اعمال محدودیت پهنای باند بر اساس مارکهای تعیین شده، میتوانید از tc (Traffic Control) استفاده کنید. ابتدا باید tc را نصب کنید:
opkg install tcسپس میتوانید محدودیت پهنای باند را به صورت زیر تنظیم کنید:
tc qdisc add dev eth0 root handle 1: htb default 12
tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbit
tc class add dev eth0 parent 1:1 classid 1:10 htb rate 1mbit ceil 2mbit
tc filter add dev eth0 protocol ip parent 1:0 prio 1 handle 5 fw flowid 1:10این دستورات یک صفبندی HTB ایجاد میکنند و پهنای باند بستههای مارک شده با علامت ۵ را به ۱ مگابیت در ثانیه محدود میکنند.
فصل ۵: بهترین روشها و توصیهها
اجتناب از فیلترینگ در جدول Mangle
همانطور که در مقدمه اشاره شد، جدول Mangle نباید برای فیلترینگ استفاده شود. استفاده از این جدول برای فیلترینگ ممکن است منجر به مشکلات پیشبینی نشدهای شود و عملکرد شبکه را تحت تاثیر قرار دهد. برای فیلترینگ بستهها بهتر است از جدول Filter استفاده کنید.
استفاده از مارکها برای مدیریت پیچیدهتر ترافیک
یکی از بهترین کاربردهای جدول Mangle استفاده از مارکها برای مدیریت پیچیدهتر ترافیک است. با مارک کردن بستهها میتوانید سیاستهای پیچیدهتری را در شبکه پیادهسازی کنید و اطمینان حاصل کنید که ترافیک بهینه مدیریت میشود.
توجه به امنیت
هنگام استفاده از جدول Mangle برای مدیریت ترافیک شبکه، باید همواره به مسائل امنیتی توجه کنید. تغییر مقادیر TTL و TOS ممکن است پیامدهای امنیتی داشته باشد و باید با دقت انجام شود.
نتیجهگیری
جدول Mangle در OpenWrt یک ابزار قدرتمند برای دستکاری و مدیریت بستههای شبکه است. با استفاده از این جدول میتوانید تنظیمات پیچیدهتری را در شبکه خود اعمال کنید و اطمینان حاصل کنید که ترافیک بهینه مدیریت میشود. با درک اهداف مختلف این جدول و نحوه استفاده از آنها، میتوانید شبکهای امنتر و کارآمدتر ایجاد کنید.
