Policy based Port routing (manual method) - XIYO/asuswrt-merlin.ng-kr GitHub Wiki

소개

이 가이드는 선택적 포트 (또는 MAC 주소) 라우팅을 구현하는 데 도움을 드립니다. VPN (또는 WAN을 통한 포트 선택적 라우팅 - 로컬 ISP를 통한)

필수 요구 사항

• Asuswrt-Merlin 호환 ARM 기반 라우터 및 Asuswrt-Merlin v380.xx 이상
• JFFS 파티션 활성화 및 포맷
• 라우터에서 작동하는 VPN (VPN이 작동하는지 수동으로 테스트됨)
• 라우터에 SSH가 활성화된 winSCP 클라이언트 설정
• Notepad ++

설치

LAN 장치/IP/CIDR 또는 대상 IP/CIDR의 정책 라우팅은 GUI를 통해 사용할 수 있지만, 펌웨어에는 Routing Policy Data Base (RPDB) fwmark 규칙이 포함되어 있지 않습니다.

다음 RPDB fwmark를 선택적 포트 라우팅에 사용하는 것이 좋습니다.

ip rule

0:	from all lookup local
9990:	from all fwmark 0x8000/0x8000 lookup main
9991:	from all fwmark 0x7000/0x7000 lookup ovpnc4
9992:	from all fwmark 0x3000/0x3000 lookup ovpnc5
9993:	from all fwmark 0x1000/0x1000 lookup ovpnc1
9994:	from all fwmark 0x2000/0x2000 lookup ovpnc2
9995:	from all fwmark 0x4000/0x4000 lookup ovpnc3
32766:  from all lookup main
32767:  from all lookup default
```**RPDB** fwmark 규칙은 스크립트 **/jffs/scripts/nat-start** (만약 **nat-start**가 없는 경우 [User scripts](https://github.com/RMerl/asuswrt-merlin.ng/wiki/User-scripts) 항목 참조)에 의해 생성되어야 합니다.

```bash
#!/bin/sh

sleep 10  # 부팅 프로세스 중에 nat-start가 여러 번 실행될 수 있으므로 필요합니다.
# 중복 규칙이 생성되지 않도록 확인합니다.
for VPN_ID in 0 1 2 3 4 5
   do
      ip rule del prio 999$VPN_ID  2>/dev/null
   done
# RPDB 규칙을 생성합니다.
ip rule add from 0/0 fwmark "0x8000/0x8000" table main   prio 9990        # WAN   fwmark
ip rule add from 0/0 fwmark "0x7000/0x7000" table ovpnc4 prio 9991        # VPN 4 fwmark
ip rule add from 0/0 fwmark "0x3000/0x3000" table ovpnc5 prio 9992        # VPN 5 fwmark
ip rule add from 0/0 fwmark "0x1000/0x1000" table ovpnc1 prio 9993        # VPN 1 fwmark
ip rule add from 0/0 fwmark "0x2000/0x2000" table ovpnc2 prio 9994        # VPN 2 fwmark
ip rule add from 0/0 fwmark "0x4000/0x4000" table ovpnc3 prio 9995        # VPN 3 fwmark

(출력은 본문만)또는 해당 VPN 클라이언트가 시작될 때 요청 시에 추가할 수 있으며, VPN 클라이언트가 종료될 때 삭제할 수 있습니다. (오픈VPN 이벤트 트리거 vpnclientX-route-pre-up/vpnclientX-down 참조)

RPDB fwmark가 정의/활성화되면, 지정된 VPN 클라이언트를 통해 원하는 포트를 선택적으로 라우팅하는 적절한 iptables 규칙을 추가하는 것이 간단합니다.

예제 1.

Web HTTP/HTTPS (포트 80 및 443) 트래픽을 192.168.1.99에서 VPN 클라이언트 2를 통해 선택적으로 라우팅하기

iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.99 -p tcp -m multiport --dport 80,443 -j MARK --set-mark 0x2000/0x2000

예제 2.

LAN 장치 192.168.1.88에서 모든 트래픽을 VPN을 통해 라우팅하지만 RDP 서비스 (포트 3389)를 호스팅하는 경우

iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.88 -p tcp -m multiport --sport 3389 -j MARK --set-mark 0x8000/0x8000

참고: WAN에서의 수신 접근을 허용하려면 _WAN - Virtual Server / Port Forwarding GUI_에서 포트 3389를 포워딩해야 합니다.

---

GUI를 사용하지 않고 포트 포워딩하기

예를 들어 WAN에서 포트 63389를 노출시키고 실제로 내부에서 RDP 포트 3389로 호스팅되는 192.168.1.88을 노출하는 경우```bash iptables -t nat -D VSERVER -p tcp -m tcp --dport 63389 -j DNAT --to-destination 192.168.1.88:3389 2> /dev/null iptables -t nat -I VSERVER -p tcp -m tcp --dport 63389 -j DNAT --to-destination 192.168.1.88:3389

***

***예제 3.***

포트 범위를 지정하고 여러 소스/대상과 선택적 포트 라우팅을 결합할 수도 있습니다.

십 개의 LAN 장치 (**192.168.1.100**에서 **192.168.1.109**까지 포함)는 **VPN 클라이언트 3**를 통해 써틴 포트 (**80,443** 및 **54000**에서 **54010**까지 포함)를 선택적으로 라우팅합니다.

iptables -t mangle -A PREROUTING -i br0 -m iprange --src-range 192.168.1.100-192.168.1.109 -p tcp -m multiport --dport 80,443,54000:54010 -j MARK --set-mark 0x4000/0x4000

***예제 4.***

라우터에서 호스팅되는 서비스도 **VPN**을 통해 라우팅될 수 있으며, **X**를 **VPN** 인스턴스로 대체하고 응용 프로그램에 필요한대로 **--sport xxxx/--dport yyyy**를 대체합니다.

iptables -t mangle -A OUTPUT -p tcp -m multiport --sport xxxx -j MARK --set-mark 0xX000/0xX000 iptables -t nat -A POSTROUTING -s $(nvram get wan0_ipaddr) -o tun1X -j MASQUERADE

***예제 5.***

**MAC 주소** **xx:xx:xx:xx:xx:xx**에서 **Web HTTP/HTTPS** (**포트 80** 및 **443**) 트래픽을 선택적으로 **VPN 클라이언트 2**를 통해 라우팅합니다.

iptables -t mangle -A PREROUTING -i br0 -m mac --mac-source xx:xx:xx:xx:xx:xx -p tcp -m multiport --dport 80,443 -j MARK --set-mark 0x2000/0x2000

예를 들어, 단일 IPSET 선택적 라우팅 규칙은 (수천 개의) 소스/대상 IP, 포트, MAC 및 도메인을 참조할 수 있습니다.
```bash
iptables -t mangle -A PREROUTING -i br0 -m set --match-set VPN1 src,src,dst -j MARK --set-xmark 0x1000/0x1000

여기서 IPSET VPN1은 여러 IPSET(예: 포트 전용 IPSET, 소스 IP/CIDR, 대상 포트 IPSET 및 소스 MAC IPSET 등)을 포함할 수 있습니다.

참고: Small Netbuilder 회원 @Xentrk는 선택적 라우팅 및 LAN 클라이언트, OpenVPN 클라이언트 및 OpenVPN 서버용 추가 선택적 라우팅 기능을 포함한 IPSET 기술을 활용하고 있습니다. 자세한 정보는 GitHub의 x3mRouting ~ Asuswrt-Merlin 펌웨어용 선택적 라우팅을 참조하세요.