
各位超級用戶大家好,
這是我的區域網路的拓樸結構。廣域網路-數據機-路由器-防火牆-Pi路由器-防火牆-區域網路機器。
我在區域網路中使用一台測試機:bob。
我無法訪問 bob 的互聯網站點,我收到“目標主機無法訪問”的消息。
這是我的路線:
bob 上的路線(匿名):
預設透過pi-路由器-iface-內部-lan-eth0開發 eth0 原始碼鮑伯IP公制202
內網/24 dev eth0 原始 dhcp 範圍連結 src鮑伯IP公制202
lan-beyond-pi-router(數據機 + pi-iface-eth1)/24 透過pi-路由器-內部-lan-iface-eth0開發者eth0
pi路由器上的路由:
預設透過pi-路由器-內部-iface-eth0開發 eth0 原始碼pi-路由器-內部-iface-eth0公制202
預設透過pi-路由器-外部-iface-eth1開發 eth1 原始碼pi-路由器-外部-iface-eth1公制203
內網/24 dev eth0 原始 dhcp 範圍連結 srcpi-路由器-內部-iface-eth0公制202
超越 pi 路由器的 LAN/24 dev eth1 原型 dhcp 範圍連結 srcpi-路由器-外部-iface-eth1公制203
我使用 ufw 作為過濾器和 nat。這是我自己的想法,並不完全確定:由於我無法在調製解調器上配置via路由,因此我在Pi路由器的「外部」(eth1)介面(調製解調器端的介面)上啟用了NAT。這是我的 ufw 配置:
'#
'# 規則.之前
'#
'# 應該在 ufw 命令列新增規則之前執行的規則。風俗
'# 規則應新增至下列鏈結之一:
'# ufw-輸入前
'# ufw-輸出前
'# ufw-前向
'#
'# nat表規則
*nat
:後路由接受 - [0:0]
'# 將流量從 eth0 轉送到 eth1
-A 後路由 -s 10.0.0.0/24 -o eth1 -j 偽裝
'#個人補充,不確定
-A 後路由 -s 192.168.0.0/24 -o eth0 -j 偽裝
'# 不要刪除 'COMMIT' 行,否則這些 nat 表規則將不會被處理
犯罪
'#不要刪除這些必填行,否則會出錯
*篩選
:ufw-輸入前 - [0:0]
:ufw-輸出前 - [0:0]
:ufw-前向 - [0:0]
:ufw-非本地 - [0:0]
'# 結束所需行
'# 允許所有環回
-A ufw-輸入前 -i lo -j 接受
-A ufw-before-output -o lo -j 接受
'# 快速處理我們已經有連接的資料包
-A ufw-before-input -m conntrack --ctstate 相關,已建立 -j 接受
-A ufw-before-output -m conntrack --ctstate 相關,已建立 -j 接受
-A ufw-before-forward -m conntrack --ctstate 相關,已建立 -j 接受
'# 丟棄無效資料包(將這些資料記錄在日誌等級中等及更高等級)
-A ufw-before-input -m conntrack --ctstate 無效 -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate 無效 -j DROP
'# ok INPUT 的 icmp 程式碼
-A ufw-before-input -p icmp --icmp-type 目的地不可達 -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type 參數問題 -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-equest -j ACCEPT
'# ok icmp 代碼 FORWARD -A ufw-before-forward -p icmp --icmp-type 目的地不可達 -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp 類型參數問題 -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-equest -j ACCEPT
'# 允許 dhcp 客戶端工作
-A ufw-輸入前-p udp --sport 67 --dport 68 -j 接受
'#
'# ufw-非本地
'#
-A ufw-輸入前 -j ufw-非本地
'# 如果是本地,則傳回
-A ufw-非本地 -m addrtype --dst-type LOCAL -j RETURN
'# 如果是多播,則傳回
-A ufw-非本地 -m addrtype --dst-type 多播 -j RETURN
'# 如果廣播,則回傳
-A ufw-not-local -m addrtype --dst-type 廣播 -j RETURN
'# 所有其他非本地資料包都被丟棄
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-非本地-j DROP
'# 允許 MULTICAST mDNS 進行服務發現(確保上面的 MULTICAST 行
'# 未註記) -A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
'# 允許 MULTICAST UPnP 進行服務發現(確保上面的 MULTICAST 行
'# 未註釋)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j 接受
犯罪
現在,我可以從 Bob 處 ping 調變解調器,但無法正常存取互聯網。 Thougb 網路 DNS 有效。
當我嘗試連接到 WAN 伺服器時,我得到:「目標主機無法存取」。我想我的配置有問題,或缺少某些東西。
也許我應該在調製解調器上配置一些東西,但我現在不這樣做。但是,不,當我進行測試時,我將 Pi 路由器插入交換器上,兩個 iface 都位於同一交換機上,在某一點上我能夠訪問網絡,一切正常。經過這些測試後,我將樹莓派插入到數據機旁的最終位置。現在,從機器 bob 到 WAN,路由經過交換器、兩台 CPL、pi 路由器、數據機。
非常感謝您的見解:-)
/cr!?ptal
答案1
我在 pi-router 上新增了一條新路由並且它有效!
sudo ip 新增路由預設透過數據機路由器 IP/24 開發 eth1。
和:
須藤蘇
ufw 停用 && ufw 啟用
此外,為了使此自訂路由持久存在,我將其新增至 /etc/dhcpcd.exit-hook 。
任務成功了:-)