基于嵌入式linux路由转发功能的实现

环境 arm7开发板， uclinux系统，kernel version： linux-2.4.x

arm芯片的单网卡双网口设备，eth0 WAN口 ipaddr 192.168.9.61

eth0:0  LAN口 ipaddr 192.168.1.51

情景： 该设备有2个网络接口，wan口和lan口 。 wan口连接PC A，A的ip192.168.9.55，lan口连接另一台PC B,B的ip为192.168.1.42；

要求：实现PC A 能够访问PC B的80端口。

       实现路由转发功能原理简单，过程比较复杂。首先要把PC B的网关设置成192.168.1.51

1．iptables nat 转发原理

使用iptables脚本实现网络地址转换。使用iptables-1.3.5.

2 

从网上下载iptables-1.3.5.tar.bz2版本，解压。

下载补丁包 patch-o-matic-20041009.tar.bz2,解压。

通过menuconfig，增加iptables功能。

2.1 iptables移植到arm设备上

(1)cd  iptables-1.3.5

(2)vi Makefile

需要做如下改动

NO_SHARE_LIBS =1

CC=arm-elf-gcc

AR=arm-elf-ar

KERNEL_DIR =/home/seen/pdb/uClinux-dist/linux-2.4.x

PREFIX:=/usr/local/arm_tools

BINDIR:=/$(PREFIX)/bin

lib1=:${PREFIX}/lib/gcc-lib/arm-elf/3.0

lib=${PREFIX}/arm-elf/lib

#COPT_FLAGS:=-O2

CFLAGS:=  $(COPT_FLAGS)  –g3 –W1 –Wunused –elf2flt=’-s 1024’  -I$(KERNEL_DIR)/include –Iinclude/ -I/usr/local/arm_tools/arm-elf/inc/-D__uClinux__ -DNEW_KERNEL –D__USE_BSD=1 –D_Lvm_H_include –DEMBED –DIPTABLES_VERSION=\”(IPTABLES_VERSION)\”

LDFLAGS=-L./ -L${lib}/ -L${lib}/lib –L${lib}/libc

-L${lib1} –static

LDLIBS= -lcrypt –lc -lgcc

保存，退出。

（3）vi Rules.make

CC=arm-elf-gcc

LD=arm-elf-ld

Install: all $(EXTRA_INSTALLS)

@if [-f  /usr/local/arm_tools/bin/iptables –a “$(BINDIR)” = “usr/local/arm_tools/bin”];\

Then echo ‘Erasing iptables from old location (now /usr/local/arm_tools/bin).’;

\

rm –f /usr/local/arm_tools/bin/iptables;\

fi

保存、退出。

(4)把iptalbes-1.3.5目录下的所有fork函数改成vfork

（5）运行make clean ;make; 生成iptables可执行文件。

2.2 menuconfig 配置iptables使能

（1）打开kernel目录     输入make menucofnig

（2）进入配置界面

[*] customize kernel settings

[*] customize vendor/user setting(new)

打上*号后退出、保存。

（3）进入Networking operantion -à

<*> netlink device emulation

[*] network packet filtering (replaces ipchains)

IP:netfilter Configuration -à

<*>Connection tracking(required for masq/NAT)

<*> FTP protocol support

<*>IP tables support(required for filtering/masq/NAT)

<*>limit match support

<*> MAC address match support

<*>netfilter MARK match support

<*>multiple port match support

<*>connection state match support

<*>packet filtering

<*>reject target support

<*>REJECT target support

<*> Full NAT

<*>MASQUERADE target support

<*> REDIRECT target support

<*> packet mangling

<*> TOS target support

<*>MARK target support

<*>LOG target support

选*号后，退出、保存

进入 Main Menu

Network Applications -à

[*] iptables

选择*号后，退出、保存

2.3打补丁

(1) cd  /home/seen/pdb/uClinux-dist/

命令行运行一下操作：

patch –p1 < pathc-o-matic-20041009/base/NETLINK.pathc

patch –p1 < pathc-o-matic-20041009/base/NETMAP.patch

patch –p1 < pathc-o-matic-20041009/base/ipv4options.pathc

patch –p1 < pathc-o-matic-20041009/base/ipv4OTSSTRZP.pathc

patch –p1 < pathc-o-matic-20041009/base/pool.patch

patch –p1 < pathc-o-matic-20041009/base/nth.patch

patch –p1 < pathc-o-matic-20041009/base/connlimit.patch

patch –p1 < pathc-o-matic-20041009/base/psd.patch

patch –p1 < pathc-o-matic-20041009/base/quota.patch

patch –p1 < pathc-o-matic-20041009/base/random.pathc

patch –p1 < pathc-o-matic-20041009/base/iprange.patch

patch –p1 < pathc-o-matic-20041009/base/mport.patch

patch –p1 < pathc-o-matic-20041009/base/TTL.patch

打完补丁后，编译内核生成新的linux.zip，如果内核报错，则patch  -R –p1 < pathc-o-matic-20041009/base/xxx.patch 撤销之前打过的xxx.patch.

2.4烧写固件       

将上面生成的romfs.zip和kernel.zip烧写到arm开发板中。

开发板运行起来后，在串口终端运行     (1)/>iptbles -t nat -A PREROUTING -d 192.168.9.61 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.42

所有PC  A访问wan口22端口的包都被转发到内网PC B 的22端口上

(2)/>iptbles -t nat -A PREROUTING -d 192.168.9.61 -p tcp --dport 8096 -j DNAT --to-destination 192.168.1.42:80

所有PC A访问wan口8080端口的包都被转发到内网PC B 80端口上实现外网访问内网的http功能。

(

(4)/>iptbles -t nat -A PREROUTING -d 192.168.9.61-p tcp --dport 22,55,87 -j DNAT --to-destination 192.168.1.42

所有PC A 访问wan口22,55,87 端口的包都被转发到内网PC B相应22,55,87 端口上。

使用iptables –L –n –t nat 命令可以看到以上命令是否配置成功。如下所示：

/> iptables -L -n -t nat

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination

DNAT       tcp  --  0.0.0.0/0            192.168.9.61        multiport dports 22,55,87 to: 192.168.1.42

DNAT       tcp  --  0.0.0.0/0            192.168.9.61                 tcp dpt:8096 to: 192.168.1.42:80

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

（6）/proc/sys/net/ipv4/ip_forward  置“1”。

至此，arm开发板网络地址转换功能完全实现。

这里有一个问题，总不能每次开发板启动后都手动在命令行上输入这些命令，这太不厚道。所以要实现路开发板开机后自动运行这些命令。

2.5  c程序实现iptables配置命令

     C程序模拟命令行输入，linux有个system()函数就能实现这个功能，good。即便这个函数自身存在一些问题。Linux环境下man system有介绍。

函数实现流程：

//set ip_forward  as 1

IC_INT32 IC_IP_FORWARD(IC_VOID)

{

fd = Open（”ip_forward”）;

write(1,fd);

}

//iptables 命令实现

IC_INT32 IC_SEND_IPTABLES_CMD(IC_VOID)

{

System(“iptbles -t nat -A PREROUTING -d WanPortIp -p tcp --dport 22,55,87 -j DNAT --to-destination PrinterIp”);

System(“iptbles -t nat -A PREROUTING -d WanPortIp -p tcp --dport 8096 -j DNAT --to-destination WanPortIp :80”);

}

编译后，生成roms.zip固件烧写到arm开发板。开机运行

通过IE浏览器地址栏输入192.168.9.61:8096就可以访问打印机80端口。