Raspbian路由器/防火牆

各位超級用戶大家好，

這是我的區域網路的拓樸結構。廣域網路-數據機-路由器-防火牆-Pi路由器-防火牆-區域網路機器。

我在區域網路中使用一台測試機：bob。

我無法訪問 bob 的互聯網站點，我收到“目標主機無法訪問”的消息。

這是我的路線：

bob 上的路線（匿名）：

預設透過pi-路由器-iface-內部-lan-eth0開發 eth0 原始碼鮑伯IP公制202

內網/24 dev eth0 原始 dhcp 範圍連結 src鮑伯IP公制202

lan-beyond-pi-router（數據機 + pi-iface-eth1）/24 透過pi-路由器-內部-lan-iface-eth0開發者eth0

pi路由器上的路由：

預設透過pi-路由器-內部-iface-eth0開發 eth0 原始碼pi-路由器-內部-iface-eth0公制202

預設透過pi-路由器-外部-iface-eth1開發 eth1 原始碼pi-路由器-外部-iface-eth1公制203

內網/24 dev eth0 原始 dhcp 範圍連結 srcpi-路由器-內部-iface-eth0公制202

超越 pi 路由器的 LAN/24 dev eth1 原型 dhcp 範圍連結 srcpi-路由器-外部-iface-eth1公制203

我使用 ufw 作為過濾器和 nat。這是我自己的想法，並不完全確定：由於我無法在調製解調器上配置via路由，因此我在Pi路由器的「外部」（eth1）介面（調製解調器端的介面）上啟用了NAT。這是我的 ufw 配置：

'#

'# 規則.之前

'#

'# 應該在 ufw 命令列新增規則之前執行的規則。風俗

'# 規則應新增至下列鏈結之一：

'# ufw-輸入前

'# ufw-輸出前

'# ufw-前向

'#

'# nat表規則

*nat

:後路由接受 - [0:0]

'# 將流量從 eth0 轉送到 eth1

-A 後路由 -s 10.0.0.0/24 -o eth1 -j 偽裝

'#個人補充，不確定

-A 後路由 -s 192.168.0.0/24 -o eth0 -j 偽裝

'# 不要刪除 'COMMIT' 行，否則這些 nat 表規則將不會被處理

犯罪

'#不要刪除這些必填行，否則會出錯

*篩選

:ufw-輸入前 - [0:0]

:ufw-輸出前 - [0:0]

:ufw-前向 - [0:0]

:ufw-非本地 - [0:0]

'# 結束所需行

'# 允許所有環回

-A ufw-輸入前 -i lo -j 接受

-A ufw-before-output -o lo -j 接受

'# 快速處理我們已經有連接的資料包

-A ufw-before-input -m conntrack --ctstate 相關，已建立 -j 接受

-A ufw-before-output -m conntrack --ctstate 相關，已建立 -j 接受

-A ufw-before-forward -m conntrack --ctstate 相關，已建立 -j 接受

'# 丟棄無效資料包（將這些資料記錄在日誌等級中等及更高等級）

-A ufw-before-input -m conntrack --ctstate 無效 -j ufw-logging-deny

-A ufw-before-input -m conntrack --ctstate 無效 -j DROP

'# ok INPUT 的 icmp 程式碼

-A ufw-before-input -p icmp --icmp-type 目的地不可達 -j ACCEPT

-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT

-A ufw-before-input -p icmp --icmp-type 參數問題 -j ACCEPT

-A ufw-before-input -p icmp --icmp-type echo-equest -j ACCEPT

'# ok icmp 代碼 FORWARD -A ufw-before-forward -p icmp --icmp-type 目的地不可達 -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT

-A ufw-before-forward -p icmp --icmp 類型參數問題 -j ACCEPT

-A ufw-before-forward -p icmp --icmp-type echo-equest -j ACCEPT

'# 允許 dhcp 客戶端工作

-A ufw-輸入前-p udp --sport 67 --dport 68 -j 接受

'#

'# ufw-非本地

'#

-A ufw-輸入前 -j ufw-非本地

'# 如果是本地，則傳回

-A ufw-非本地 -m addrtype --dst-type LOCAL -j RETURN

'# 如果是多播，則傳回

-A ufw-非本地 -m addrtype --dst-type 多播 -j RETURN

'# 如果廣播，則回傳

-A ufw-not-local -m addrtype --dst-type 廣播 -j RETURN

'# 所有其他非本地資料包都被丟棄

-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny

-A ufw-非本地-j DROP

'# 允許 MULTICAST mDNS 進行服務發現（確保上面的 MULTICAST 行

'# 未註記） -A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

'# 允許 MULTICAST UPnP 進行服務發現（確保上面的 MULTICAST 行

'# 未註釋）

-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j 接受

犯罪

---

現在，我可以從 Bob 處 ping 調變解調器，但無法正常存取互聯網。 Thougb 網路 DNS 有效。

當我嘗試連接到 WAN 伺服器時，我得到：「目標主機無法存取」。我想我的配置有問題，或缺少某些東西。

也許我應該在調製解調器上配置一些東西，但我現在不這樣做。但是，不，當我進行測試時，我將 Pi 路由器插入交換器上，兩個 iface 都位於同一交換機上，在某一點上我能夠訪問網絡，一切正常。經過這些測試後，我將樹莓派插入到數據機旁的最終位置。現在，從機器 bob 到 WAN，路由經過交換器、兩台 CPL、pi 路由器、數據機。

非常感謝您的見解:-)

/cr!?ptal