wifi热点的防火墙iptables

Chain tetherctrl_FORWARD (1 references)pkts bytes target prot opt in out source destination94805 59M bw_global_alert all -- * * 0.0.0.0/0 0.0.0.0/0匹配条件in* out*所有协议无源/目标限制作用所有进入此链的包无条件命中跳转到bw_global_alert链统计带宽然后 RETURN 回来继续匹配下一条tcpdump 示例任何转发包都会命中比如全部命中94805 包就是总转发量。30509 29M tetherctrl_counters all -- eth2.16 wlan2 0.0.0.0/0 0.0.0.0/0 [goto] state RELATED,ESTABLISHED匹配条件ineth2.16 outwlan2且连接状态为 ESTABLISHED 或 RELATED• 作用互联网的回包属于已建立连接的响应包从 eth2.16 转发给热点客户端 wlan2。[goto] 意味着进入 tetherctrl_counters 计数后 RETURN 直接回到主 FORWARD 链不再走 tetherctrl_FORWARD 后续规则# 热点客户端之前发了 HTTP 请求服务器响应回来110.242.68.66.80 192.168.43.100.52341: TCP ACK, length 1460 ← HTTP 响应数据# DNS 查询的响应223.5.5.5.53 192.168.43.100.41234: UDP, length 128 ← DNS 应答# FTP 数据连接RELATED203.0.113.5.20 192.168.43.100.49876: TCP SYN ← FTP RELATED 连接30509 包、29MB —— 这是下载方向的流量。250 10944 DROP all -- wlan2 eth2.16 0.0.0.0/0 0.0.0.0/0 state INVALID匹配条件inwlan2 outeth2.16连接跟踪状态为 INVALID• 作用热点客户端发出的但conntrack 无法识别的异常包直接丢弃# TCP 的 RST 包没有对应的已知连接192.168.43.100.52341 110.242.68.66.80: Flags [R], seq 0# 分片重组失败的碎片192.168.43.100 8.8.8.8: frag (0|1480) ← 乱序/重复分片# 伪造的 ACK没有对应的 SYN192.168.43.100.12345 1.2.3.4.443: Flags [.], ack 1250 包、10KB —— 正常范围通常是连接断开期间的残余包。38833 15M tetherctrl_counters all -- wlan2 eth2.16 0.0.0.0/0 0.0.0.0/0 [goto]匹配条件inwlan2 outeth2.16无状态限制NEW ESTABLISHED RELATED 都匹配• 作用热点客户端发往互联网的所有合法包新建连接 已有连接的后续包放行并计数。经过规则 3 过滤掉 INVALID 后剩下的都在这里放行• tcpdump 示例# 新建 TCP 连接的 SYNNEW192.168.43.100.52341 110.242.68.66.80: Flags [S], seq 1234# DNS 查询NEW192.168.43.100.41234 223.5.5.5.53: UDP, length 64# 已建立连接上的数据包ESTABLISHED192.168.43.100.52341 110.242.68.66.80: Flags [P.], length 512 ← POST 请求# HTTPS 握手NEW → ESTABLISHED192.168.43.100.43210 14.215.177.39.443: Flags [S], seq 567838833 包、15MB —— 这是上传方向的流量。25213 14M DROP all -- * * 0.0.0.0/0 0.0.0.0/0匹配条件in* out*前面所有规则都没匹配到的包• 作用不属于 eth2.16 ↔ wlan2 接口对的转发流量全部丢弃• tcpdump 示例25213 包、14MB —— 这就是导致热点不可用的元凶。这些包本应正常转发但被 DROP 拦截了。改成 RETURN 后它们会回到主 FORWARD 链走 policy ACCEPT 放行。