图片 1
Linux的iptables中的 "--tee" 参数可以将数据包镜像到指定的IP地址。可以在安装Tomato系统的路由器上部署WFilter来实现监控。
在本例中,我们将演示如何在Tomato路由器系统上用iptables命令来部署WFilter。
在"Administration" - "Admin Access"中启用"SSH Daemon"。
用任一款SSH客户端软件登陆Tomato。
要使"--tee"选项能够生效,必须启用"ipt_ROUTE"模块,该模块默认是不启用的。
本例中,我们将镜像包发送到"192.168.1.100"(安装WFilter的电脑)。
列出所有的iptables规则,检查规则是否添加成功。
如果你想在系统重启后自动应用这条规则,你需要在"Administration - Scripts"中添加如下两条命令:
modprobe ipt_ROUTE
iptables -A PREROUTING -t mangle -j ROUTE --gw 192.168.1.100 --tee
请注意,"iptables"并不会转发原始的MAC地址,因此,在WFilter中不能选择“根据MAC地址监控”,而应该选择“根据IP地址监控”。
