eu tenho rede escolar10.0.0.0/8
10.122.72.2eu tenho o debian rodando com gateway IP atribuído estático 10.122.72.1na eth0 e rede local 10.122.2.0/24na eth1
O problema é que posso acessar outras redes, por exemplo. 10.122.1.0/24mas não consigo acessar minha rede local de fora, por exemplo. ping 10.122.2.1da 10.122.1.0/24rede
tracert 10.122.1.1da minha rede local, informe como o pacote foi roteado10.122.2.1 -> 10.122.72.1 -> 10.122.1.1
E tracert 10.122.2.1da 10.122.1.0/24rede me dê10.122.1.1 -> 10.122.254.9 -> request timed out
sudo route -nme dê isso:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.122.72.1 0.0.0.0 UG 0 0 0 eth0
10.122.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
10.122.72.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
e aqui está o meu/etc/network/interfaces
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.122.72.2
netmask 255.255.255.0
network 10.122.72.0
broadcast 10.122.72.255
gateway 10.122.72.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 202.46.129.2
auto eth1
iface eth1 inet static
address 10.122.2.1
netmask 255.255.255.0
network 10.122.2.0
broadcast 10.122.2.255
Aqui estão minhas regras de firewall
outif="eth0"
lanif="eth1"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o $lanif -j MASQUERADE
iptables -t nat -A POSTROUTING -o $outif -j MASQUERADE
Como posso tornar minha rede local acessível externamente?
desde já, obrigado
Responder1
O problema aqui não é o seu roteador (pelo menos ainda não).
O que tracertvocê executou mostra que 10.122.254.9parece não saber para onde rotear o pacote em seguida. Você precisa configurar os outros roteadores na rede escolar para rotear 10.122.2.0/24para o seu roteador.
Feito isso, você poderá remover o NAT do seu roteador.
Dados os dois tracertresultados que você forneceu, parece que sua rede é mais ou menos assim:
O roteamento IP funciona salto a salto. Ao tentar enviar um pacote para 10.122.2.1, existem duas possibilidades:
- Você está na mesma sub-rede que
10.122.2.1: Basta descobrir o endereço da camada 2 e enviar o pacote. - Você está em uma sub-rede diferente. Você consulta sua tabela de roteamento para encontrar um roteador em sua sub-rede que o aproxime
10.122.2.1, encontre seu endereço de camada 2 e envie o pacote a ele. Ele então segue os mesmos passos que você seguiu.
No seu caso, quando você estiver na 10.122.1.0/24rede, se a representação dada acima estiver correta, você pode enviar uma mensagem para os roteadores controlados pela escola 1 e 2 (sendo 2 o gateway padrão, quando você não sabe para quem enviar). ).
Como você não está na 10.122.2.0/24rede e não sabe para quem enviá-lo, envie-o para o gateway padrão, 10.122.1.1também conhecido como roteador controlado pela escola 2. Ele não está na mesma sub-rede 10.122.2.1e não tem uma entrada especial para ele o envia para seu gateway padrão, 10.122.254.9que por sua vez provavelmente tenta enviá-lo para a Internet, momento em que ele é descartado, pois está 10.122.2.1em um intervalo de IP privado.
Se você estiver na 10.122.72.0/24rede, poderá adicionar uma entrada para informar ao seu computador que 10.122.2.0/24é acessível por meio de 10.122.72.2, mas como você está em outra sub-rede, será necessário informar aos roteadores controlados pela escola que 10.122.2.0/24é acessível por meio de 10.122.72.2. Neste caso, isso significaria atualizar o roteador 1 controlado pela escola com uma entrada direta para sua rede como sendo acessível através de sua máquina Debian, e o roteador 2 controlado pela escola com uma entrada para sua rede como sendo acessível através do roteador 1 controlado pela escola.
Sem controlar os roteadores da escola, isso não é algo que você possa fazer. O melhor que você pode fazer é configurar um servidor VPN em sua máquina Debian e, em seguida, encapsular o tráfego para 10.122.2.0/24usar uma conexão VPN.