求助下iptables的設(shè)置問(wèn)題

iamshiyu

目前結(jié)構(gòu)如下：
2條入線（連接兩個(gè)服務(wù)商的光電模塊），連到1思科路由上，思科1條連接內(nèi)網(wǎng)的出線。
兩個(gè)服務(wù)商提供的都是172段的直連地址（如172.0.1.2和172.0.2.2），分別分配了16個(gè)公網(wǎng)IP和64個(gè)公網(wǎng)IP。
運(yùn)行的路由策略是，凡內(nèi)網(wǎng)辦公I(xiàn)P都走64個(gè)IP的那條線（假定公網(wǎng)IP1.0.0.1），凡對(duì)外發(fā)布的頁(yè)面都走16個(gè)IP那條線（假定公網(wǎng)IP2.0.0.1）。
想用一臺(tái)雙網(wǎng)卡linux服務(wù)器替代這臺(tái)思科路由（近兩年工作很不穩(wěn)定，經(jīng)常內(nèi)存溢出然后崩潰重啟）。
由于只有雙網(wǎng)卡（原先的思科路由也是雙網(wǎng)口，設(shè)置的子接口），可能出線上需要設(shè)一個(gè)子接口，然后再設(shè)策略路由。
哪位給個(gè)思路呢……好久沒(méi)配iptables了，沒(méi)思路了。
主要的幾個(gè)困惑：
1是直連IP的這種情況下，對(duì)外映射和nat該怎么個(gè)配法？能否舉個(gè)例子。
2是子接口和策略該怎么個(gè)配法，能否根據(jù)我給的這些條件搞個(gè)出來(lái)？
現(xiàn)在我思路很混亂，尤其是子接口、策略路由+直連IP段這幾個(gè)因素一攪和，更理不清了，多謝各位！

dbsrv

首先，linux支持Trunk模式，也可以配置子接口。
比如你的公網(wǎng)接在eth0上
清除eth0地址

ip address add 0.0.0.0 dev eth0

將eth0指定到vlan 2、3中，需要加載802.1q的模塊

modprobe 8021q
vconfig add eth0 2
vconfig add eth0 3

為子接口設(shè)置IP地址

ip address add 172.0.1.2/26 eth0.2
ip address add 172.0.2.2/28 eth0.3

其次，/etc/iproute2/rt_tables新建一個(gè)路由表

255     local
254     main
253     default
0       unspec
#
# local
#1      inr.ruhep
## New Route Table
114     TEST

指定兩條路由

ip route add 0/0 via 172.0.1.1
ip route add 0/0 via 172.0.2.1 table 114

ip rules根據(jù)源地址指定出口。

ip rule add from $Office_PC pref 23456 table 114

啟用轉(zhuǎn)發(fā)和nat

echo 1 /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0.2 -s $Office_PC -j SNAT --to 172.0.1.2
iptables -t nat -A POSTROUTING -o eth0.3 -s $Servers -j SNAT --to 172.0.2.2

iptables -t nat -A PREROUTING -i eth0.3 -d 172.0.2.2 -p tcp --dport 80 -j DNAT --to $Server_web

iamshiyu

回復(fù) 2# dbsrv
多謝多謝，我試試看。

   

iamshiyu

回復(fù) 2# dbsrv
目前的嘗試
modprobe 8021q
vconfig add em3 2
vconfig add em3 3
ip address add 172.0.1.2/30 brd + dev em3:2
ip address add 172.0.2.2/30 brd + dev em3:3
ip route add 172.0.1.1 dev em3:2 src 172.0.1.2 table 110
ip route add default via 172.0.1.1 table 110
ip route add 172.0.2.1 dev em3:3 src 172.0.2.2 table 120
ip route add default via 172.0.2.1 table 120
ip address add 192.168.255.254/29 brd + dev em4    #內(nèi)網(wǎng)IP，作為內(nèi)部網(wǎng)關(guān)借口，下面接了個(gè)防火墻ip是255.253
ip rule add from 192.168.0.0/16 pref 1000 table 110
ip rule add from 10.0.0.0/8 prfe 990 table 120                  #這個(gè)段是內(nèi)網(wǎng)的服務(wù)器群
ip rule add from 192.168.111.12/32 pref 990 table 120     #這個(gè)是內(nèi)網(wǎng)辦公室需要映射到外面的服務(wù)器
ip rule add from 192.168.112.22/32 pref 990 table 120
ip rule add from 192.168.113.33/32 pref 990 table 110     #這也是內(nèi)網(wǎng)辦公室映射到外面的服務(wù)器，但需走另一條線

不知道這個(gè)思路對(duì)不對(duì)，另外后面又猶豫了，設(shè)置成這樣以后直接iptables就可以nat了嗎？
比如172.0.1.1對(duì)應(yīng)的公網(wǎng)IP是210.100.100.101~164，用102~110做nat池子，iptables怎么寫？另外有一部分服務(wù)器是要映射到172.0.1.1這條線上的，而大部分是映射到172.0.2.1這條線上的，我寫的5條ip rule體現(xiàn)的就是這個(gè)思路，不知對(duì)不對(duì)。比如那個(gè)192.168.113.33希望映射到172.0.1.1這條線路，使用公網(wǎng)IP為210.100.100.120，又該怎么寫？
因?yàn)槭顷P(guān)鍵線路，不敢輕易動(dòng)，希望能盡可能考慮周全，少做切換，所以不敢多做嘗試。望諒解。




   

iamshiyu

最終還是用了3網(wǎng)卡，直接IPtables+ iprule + iproute解決，沒(méi)用vconfig，實(shí)在沒(méi)搞清到底怎么搞