二級(jí)路由的逆向訪問問題

feng32tc

如圖所示，有2個(gè)路由器，其中路由1是普通路由器，通過ADSL接入Internet。

路由2是雙線路由器。首先配置好vlan，然后加入以下防火墻腳本，就能同時(shí)訪問內(nèi)網(wǎng)和外網(wǎng)資源了。

1. ifconfig vlan3 172.19.3.119 netmask 255.255.255.0
   
2. route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.19.3.1
   
3. iptables -t nat -I POSTROUTING -d 172.16.0.0/16 -o vlan3 -j MASQUERADE

復(fù)制代碼

我的問題是，有沒有可能讓路由1也能訪問內(nèi)網(wǎng)資源？如果可以，那么腳本應(yīng)該怎么寫？

（因?yàn)椴季�的原因，兩個(gè)路由器最好各各帶3個(gè)有線客戶端，雖然校園網(wǎng)接在路由1上顯然更合理，但是再加上級(jí)聯(lián)的線就只能掛2個(gè)有線客戶端了）

chenyx

router1上能添加靜態(tài)路由不?
可以的話,添加一條172.16.0.0/16的靜態(tài)路由,指向router2的vlan1的ip.
應(yīng)該就可以訪問了.

feng32tc

chenyx 發(fā)表于 2012-03-10 20:24
router1上能添加靜態(tài)路由不?
可以的話,添加一條172.16.0.0/16的靜態(tài)路由,指向router2的vlan1的ip.
應(yīng)該就 ...

這個(gè)已經(jīng)試過了，似乎還不行。

1. route add 172.16.0.0/16 gw 192.168.1.2

復(fù)制代碼

其中192.168.1.2是Router 2的WAN口IP地址

Router 2從WAN口收到一個(gè)目標(biāo)是172.16.x.x的IP報(bào)文會(huì)自動(dòng)把它發(fā)到vlan3接口嗎，是不是還要在Router 1上加入一些防火墻規(guī)則？

默認(rèn)似乎報(bào)文會(huì)首先通過nat表的PREROUTING鏈，然后是是filter表的FORWARD鏈，最后是nat表的POSTROUTING鏈。在默認(rèn)的規(guī)則下報(bào)文能夠正常轉(zhuǎn)發(fā)嗎？還有PING報(bào)文返回時(shí)，又是如何回到Router 1下的主機(jī)中的呢？

feng32tc

這個(gè)是filter表的默認(rèn)配置，已經(jīng)確定是FORWARD鏈的規(guī)則把報(bào)文丟棄了

1. root@unknown:/tmp/home/root# iptables -t filter -L -n -v
   
2. Chain INPUT (policy DROP 23430 packets, 1112K bytes)
   
3. pkts bytes target     prot opt in     out     source               destination
   
4. 1006  154K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
   
5. 29496 4795K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   
6. 27571 4139K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
   
7.   172 22157 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   
8. 
   
9. Chain FORWARD (policy DROP 12 packets, 1008 bytes)
   
10. pkts bytes target     prot opt in     out     source               destination
    
11.   15M   16G ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0
    
12. 33771 1478K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    
13. 138K 7372K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    
14.   12M 1378M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
15.    12  1008 wanin      all  --  vlan1  *       0.0.0.0/0            0.0.0.0/0
    
16. 289K   19M wanout     all  --  *      vlan1   0.0.0.0/0            0.0.0.0/0
    
17. 294K   24M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
    
18.    12  1008 upnp       all  --  vlan1  *       0.0.0.0/0            0.0.0.0/0
    
19. 
    
20. Chain OUTPUT (policy ACCEPT 74818 packets, 21M bytes)
    
21. pkts bytes target     prot opt in     out     source               destination
    
22. 
    
23. Chain upnp (1 references)
    
24. ...
    
25. 
    
26. Chain wanin (1 references)
    
27. pkts bytes target     prot opt in     out     source               destination
    
28.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.32        tcp dpt:5617
    
29.     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.2.32        udp dpt:5627
    
30. 
    
31. Chain wanout (1 references)
    
32. pkts bytes target     prot opt in     out     source               destination

復(fù)制代碼

feng32tc

回復(fù) 4# feng32tc

在wanin chain中加了一條ACCEPT規(guī)則，這樣報(bào)文就不會(huì)在filter的FORWARD鏈中被丟棄了，不過還是PING不通

1. Chain wanin (1 references)
   
2. pkts bytes target     prot opt in     out     source               destination
   
3.     2   168 ACCEPT     all  --  *      *       0.0.0.0/0            172.16.0.0/16
   
4.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.32        tcp dpt:5617
   
5.     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.2.32        udp dpt:5627

復(fù)制代碼

feng32tc

回復(fù) 5# feng32tc


問題已解決，多謝chenyx