自制迷你路由器过程中的常见问题的一些经验分享

端午假期搞了一块带有Wifi模块的开发板，本来这是用于研发Android终端的，我本无意于此，因此就拿来做迷你路由器了，当然，我事先知道它肯定可以很方便的灌入Linux内核以及应用程序，否则光这一步就够我喝一壶的了。
所谓的一个路由器，使用Linux来做实在太方便了，对照着家里的TP-LINK，无非就是实现以下的模块，甚至都不用写一行C代码：
1.实现路由添加，修改，删除操作界面
界面可以使用PHP来做，当然也可以使用字符界面，不过这样做看起来没有PHP做出来的专业。底层建议使用iproute2工具集而不是route命令，因为iproute2可以很方便的配置复杂的路由策略，比如策略路由，force-onlink路由等。
2.防火墙模块
底层使用iptables命令设置filter表，然后用PHP做一个前端接口。
3.地址转换模块
底层使用iptables命令设置nat表，然后用PHP做一个前端接口。这一个模块完全是仿效一般的家用路由器来的，这种路由器一般用于一个家庭多台机器的上网，因此有必要将内网地址MASQUERADE到唯一的公网地址。当然如果你本身就有很多公网IP且无意隐藏你的内部网络，那真的就不需要这个了。
4.流控模块
底层使用iptables命令以及tc命令，基于IP地址，五元组，MAC信息等进行流控，用PHP做一个前端配置接口。
5.NAT穿越模块
这个模块不得不多说一些，毕竟对于我等喜欢用BT，电驴的那是没有它不行的啊。说实话，我还真想将基于hack技术的NAT穿越技术用到自制的路由器上，后来发现这太难了，还不能保证每次都能成功，其实一直以来我就对这种点子不是很感冒，因此就想其他的办法。穿越NAT其实是可以用另一种技术来替代的，那就是设置一个DNAT，毕竟路由器都是我自己的，我想怎么搞就怎么搞，设置一个DNAT是容易的，但是问题是我到底需要将内网的哪些地址和端口开放呢？如果全部开放，那还不如当初不设置SNAT呢，然而不设置SNAT又涉及到共享公网IP的问题...
于是，想了好久终于想出一个看起来还不错的主义，那就是让内网主机主动通报自己的IP和需要映射的端口，路由器上始终运行一个接收进程即可，接收到某一主机的通报后，就将以下规则设置到路由器上：
iptables -t nat -A PREROUTING -i 外网口 -d 唯一的公网地址 -p 需要映射的协议 --dport 需要映射的端口 -j DNAT --to-destination 通报上来的内网地址
于是，这就需要在每一个主机上放置一个用于通报的程序。想了一下，这样还是很麻烦，还不如将工作留给路由器呢，也就是说由路由器主动询问内部网，看谁有需要映射的端口，这样也不行，因为这样需要内网主机的回答，还需要编程。于是索性使用nmap每隔一段时间扫一下内网的熟知的P2P端口，然后将“发现”的端口动态设置在路由器上...花了一下午之间，终于可行了，后来问题又来了，问题在于何时删除这些映射...维持一个状态机太复杂了，于是我就坐到此为止了，反正能用即可。
为何花了一下午呢？原来犯了一个低级错误，我在VMWare里面试验nmap扫描，发现得到的结果OS都是MacOS，问题恰恰就在这，因为我用于试验的机器运行的还真都是MacOS...最终发现所有的结果OS都是我的那个VMWare的宿主机，因为我的VMWare中的Linux的网卡模式是NAT，而VMWare的NAT是由宿主机在用户态完成的，它实则就是一个代理，因此nmap的结果表现不出目标机的真实信息。
后来仔细研究了一下家里的TP-LINK路由器，发现了一个叫做uPnP的协议，噢，原来这个协议就是实现我那个功能的啊，太孤陋寡闻了...还好意思说自己网络技术很厉害，惭愧啊。于是直接搞uPnP，顿时完美了。
6.IP/MAC绑定模块
同样用iptables，没别的比这更方便。
7.IPSec穿越模块
我基本不使用IPSec，因此忽略。
8.日志模块
很重要，虽然我一直都不知道为何日志很重要...
9.SSH开放
最后，我没有忘记给自己开放一个SSH，否则调试就麻烦了。