ats Linux Bridge内联

Linux可以配置为在桥接模式下运行。 为网桥分配了两个或更多物理接口。 在接口
之间共享单个IP地址。 默认情况下，任何到达一个接口的数据包都会立即路由到另一个
网桥接口。

需要的Linux包:
bridge-utils
ebtables

在我们设置桥接模式的示例中，我们将使用本地地址192.168.1.11/24并将eth0
和eth1作为桥接接口;

brctl addbr br0 # create bridge device
brctl stp br0 off # Disable spanning tree protocol
brctl addif br0 eth0 # Add eth0 to bridge
brctl addif br0 eth1 # Add eth1 to bridge

ifconfig eth0 0 0.0.0.0 # Get rid of interface IP addresses
ifconfig eth1 0 0.0.0.0 # ditto # Set the bridge IP address and enable it
ifconfig br0 192.168.1.11 netmask 255.255.255.0 up

如果您还没有这样做，请记住添加一个默认路由，例如此路由为192.168.1.1。

ip route add default via 192.168.1.1

绿色箭头是源自客户端的数据包，红色箭头是源自源服务器的数据包。 未定向到本地地址的所有流量都将通过网桥。 我们需要分解一些流量并对其进行路由，以便将其路由到ATS。 这需要ebtables。 我们想要拦截的流是绿色1（从客户端到网桥）和红色1（源服务器到桥接）。

在此示例中，我们将拦截端口80（HTTP）流量。 我们将使用BROUTING链，因为它仅针对从外部发起并到达（转发启用）接口的数据包。 虽然看起来这将拦截所有端口80流量，但它只会影响上述两种流量。 -j redirect将数据包标记为转移到网桥而不转发，DROP目标将数据包放入正常的iptables路由中，以便我们可以对它们使用标准设备测试[1]。 虽然此示例仅处理端口80，但除端口值外，其他端口相同。 另请注意，此处的端口是从客户端和源服务器的角度来看的端口，而不是Traffic Server服务器端口。

ebtables -t broute -F # Flush the table
# inbound traffic
ebtables -t broute -A BROUTING -p IPv4 --ip-proto tcp --ip-dport 80 \
-j redirect --redirect-target DROP
# returning outbound traffic
ebtables -t broute -A BROUTING -p IPv4 --ip-proto tcp --ip-sport 80 \
-j redirect --redirect-target DROP

Traffic Server在第3层运行，因此我们需要使用iptables来正确处理IP数据包：
iptables -t mangle -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 \
-j TPROXY --on-ip 0.0.0.0 --on-port 8080 --tproxy-mark 1/1
iptables -t mangle -A PREROUTING -i eth0 -p tcp -m tcp --sport 80 \
-j MARK --set-mark 1/1

此时接口的方向性很重要。 例如，eth1是入站（客户端）接口，而eth0是出站（源服务器端）接口。 我们标记两个数据包流，以便我们可以对它们使用策略路由。 对于入站数据包，我们需要使用TPROXY强制接受数据包到外部IP地址。 对于返回出站数据包，将有一个套接字打开绑定到外部地址，我们只需要强制它在本地传递。 --on-ip的值为0，因为目标端口正在侦听并且未绑定到特定地址。 --on-port的值必须与Traffic Server服务器端口匹配。 否则它的值是任意的。 --dport和--sport从客户端和源服务器的角度指定端口。

一旦标记了流，我们就可以通过策略路由表强制它们通过环回接口在本地传递：
ip rule add fwmark 1/1 table 1
ip route add local 0.0.0.0/0 dev lo table 1

使用的标记是任意的，但它必须在iptables和路由规则之间保持一致。

在records.config中设置
proxy.config.http.server_ports value from --on-port (see below)
proxy.config.reverse_proxy.enabled 1
proxy.config.url_remap.remap_required 0

其他疑难解答
检查以确保iptables没有过滤（阻止）传入的HTTP连接。
您可以使用以下命令清除所有过滤器：
iptables -t filter --flush FORWARD
iptables -t filter --flush INPUT

这有点激烈，应该只用于测试/调试。 实时系统可能需要一些过滤器，但这超出了本文档的范围。 如果这样可以解决问题，那么您的过滤器集限制性太强。

请注意，此问题将阻止基本网桥（没有ATS）允许HTTP流量通过。

验证是否已启用IP数据包转发。
cat /proc/sys/net/ipv4/ip_forward
echo '1' > /proc/sys/net/ipv4/ip_forward

可以通过将其置于/etc/sysctl.conf中来保持此设置
net/ipv4/ip_forward=1