OpenVPN遇到的Secondary地址问题

对于提供服务的程序，一般而言喜欢使用0.0.0.0这个地址，但是如果这个服务是UDP的，那么就有可能出现一些问题，比如如果某块网卡配置了多个IP地址，那么问题就可能重现。最近使用OpenVPN的时候就遇到了这样的问题。OpenVPN建议使用UDP协议，然而正是由于使用了UDP协议才出现了问题。以下几个要点帮助解决这样的问题，记之备忘：
1.udp服务没有bind到特定地址，而是0.0.0.0
2.没有bind地址的udp服务的返回包在路由后添加源地址
3.对于没有bind到特定地址的udp服务器的返回包，内核协议栈在路由后为其添加符合条件的网卡上的第一个最匹配的primary(非secondary)地址
4.Linux的Netfilter的OUTPUT挂接在路由后，并且1中所述的服务器的第一个返回包在此HOOK处初始化NAT使用的nf_conntrack数据结构(后面说原因)
5.udp客户端连接udp服务器的secondary地址，该连接包在进入udp服务器的PREROUTING这个HOOK的时候会初始化一个nf_conntrack(忽略port)：
5.1 client address/server secondary address<->server secondary address/client address
6.udp服务器的返回包的源IP由于3，并没有被初始化成secondary address，因此在经过OUTPUT这个HOOK点时，由于没有找到既有的conntrack，又初始化了一条新的contrack：
6.1 server primary address/client address<->client address/server primay address
7.紧接着进入SNAT的规则链去匹配，匹配到了不该匹配到的条目，该条目本应该作用于主动外出的数据包的，对于进入的数据包，理应在PREROUTING的时候就已经匹配过了。
8.因此需要添加一条规则，将udp客户端连接的secondary地址定向到primary地址：
iptables -t nat -A PREROUTING [一系列的udp匹配条件] -i eth3 -j DNAT --to-destination $primary_address
该条规则使得udp客户端的连接包在PREROUTING这个点上就能初始化nf_conntrack数据结构
9.unique_tuple回调函数中一般都有以下的一句话：
if (maniptype == IP_NAT_MANIP_DST)
return 0;
也就是说，对于DNAT来讲，不改变端口，而对于SNAT来讲，需要根据内核协议栈的一系列算法来重新选择一个源端口，该算法恨是简单，就是只要选择了端口后的一个tuple与其它的tuple不冲突即可，因此对于本例而言，由于目的端口大于1024，因此从1024开始选择，1024就没有被6.1这样的tunple使用，那么就是它了。
因此，千万不能将SNAT用作修改服务返回包，因此理论上，服务是被动连接的，在返回包发出之前，客户端的连接包早已该将nf_conntrack建立好才对，如果非要如此错误使用的话，得到的结果很可能就是服务器返回包的源端口被修改掉(UDP情况)，好在OpenVPN还可以在客户端用float参数。