问题：ikuai如何配置端口分流实现不同网络策略？

一、iKuai路由器端口分流概述

iKuai作为一款企业级软路由系统，广泛应用于多线路出口、策略路由、负载均衡等场景。端口分流是其策略路由的重要应用之一，通过将不同服务端口的流量引导至不同的WAN线路，可以实现带宽优化、延迟降低和用户体验提升。

常见的应用场景包括：

• 将HTTP（80）流量引导至低延迟线路
• 将HTTPS（443）流量引导至高带宽线路
• 将游戏流量指定到特定出口以降低延迟
• 将视频流量走专用带宽线路，避免影响其他业务

二、iKuai是否支持基于端口的策略路由？

是的，iKuai支持基于端口的策略路由，但需要结合以下机制：

1. 防火墙规则（Firewall Rules）
2. 策略路由（Policy Routing）
3. NAT规则配置

其核心在于通过防火墙规则匹配特定端口流量，并标记（mark）该流量，再通过策略路由表（Rule Table）将标记的流量导向指定的WAN线路。

三、Web界面配置端口分流步骤

以下是一个将HTTP（80）和HTTPS（443）流量分别引导至不同WAN出口的配置流程：

1. 进入【防火墙】->【规则设置】，添加两条规则：

2. 规则名称	协议	目标端口	动作	标记
   HTTP流量标记	TCP	80	Accept	0x10
   HTTPS流量标记	TCP	443	Accept	0x20

3. 进入【策略路由】->【规则设置】，添加两条策略路由规则：

4. 规则名称	匹配标记	出口线路	优先级
   HTTP出口策略	0x10	WAN1	100
   HTTPS出口策略	0x20	WAN2	101

5. 确保在【NAT】中启用MASQUERADE，确保NAT转换正确。
6. 在【防火墙】中放行相关端口，确保流量不被阻断。

四、通过脚本实现更灵活的端口分流

对于高级用户，可以通过shell脚本直接操作iptables和ip rule，实现更细粒度的控制。例如：

# 标记HTTP流量
iptables -t mangle -A FORWARD -p tcp --dport 80 -j MARK --set-mark 0x10

# 标记HTTPS流量
iptables -t mangle -A FORWARD -p tcp --dport 443 -j MARK --set-mark 0x20

# 添加策略路由表
ip rule add fwmark 0x10 table 100
ip rule add fwmark 0x20 table 200

# 设置路由表出口
ip route add default via [WAN1网关] dev [WAN1接口] table 100
ip route add default via [WAN2网关] dev [WAN2接口] table 200
  

注意：上述脚本需根据实际网络拓扑修改网关和接口名称。

五、配置注意事项

• 规则顺序：策略路由规则优先级高者先执行，应合理设置优先级，避免冲突。
• NAT处理：确保NAT规则允许标记流量通过，并启用MASQUERADE。
• 防火墙放行：在防火墙规则中放行相关端口，否则流量会被丢弃。
• 状态跟踪：启用连接状态跟踪（Conntrack），确保会话一致性。
• 接口绑定：确保策略路由绑定的出口接口与实际WAN线路一致。

六、分流效果验证与故障排查

分流配置完成后，可通过以下方式验证与排查问题：

1. 使用tcpdump抓包验证流量走向：

2. tcpdump -i [WAN接口] port 80 or port 443

3. 查看路由表匹配情况：

4. ip rule show

5. 查看标记流量统计：

6. iptables -t mangle -L -v -n

7. 查看NAT转换情况：

8. cat /proc/net/nf_conntrack | grep ':80\|:443'

9. 日志分析：启用防火墙日志，查看是否有丢包或拒绝记录。

七、端口分流的进阶应用场景

除了基本的HTTP/HTTPS分流，还可以扩展以下场景：

• 游戏流量分流：将Steam、LOL等游戏端口（如UDP 27000-27030）定向到低延迟线路。
• 视频流量分流
• ：将YouTube、Netflix等视频服务流量走高带宽线路。
• VoIP流量优化：将SIP、RTP等语音流量走专线或低抖动出口。
• 自定义应用识别：通过DPI识别应用层协议，结合端口分流实现更精细控制。