linux實現(xiàn)網(wǎng)橋和路由功能

瀚海書香

網(wǎng)絡拓撲如下：


linux服務器3個網(wǎng)口（eth0, eth1,eth2) 其中eth0和eth1組成網(wǎng)橋br0。
PC接到eth0, eth1接到路由器，默認PC上網(wǎng)的數(shù)據(jù)包通過網(wǎng)橋走。PC（192.168.1.2）去訪問192.168.5.3的時候被路由器NAT為192.168.5.1

現(xiàn)在想讓PC(192.168.1.2）去訪問192.168.5.3的ssh的時候通過192.168.5.2訪問
我在LINUX服務器上做了如下規(guī)則,我在pc上ssh 192.168.5.3,結(jié)果數(shù)據(jù)包匹配了兩條規(guī)則，但是syn沒有到192.168.5.3

#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p tcp --dport 22 -j SNAT --to-source 192.169.5.2
#ebtables -t nat -A PREROUTING -p ipv4 --ip-proto tcp --ip-dport 23 -i eth2 -d ${MAC_ROUTE} -j dnat --to-destination ${MAC_LINUX_br0}

有人遇到過這種應用場景嗎？

bfdhczw

回復 32# iceblood
終于搞定了，你再試試看。
eth0接路由器
eth2接內(nèi)網(wǎng)

1. xxx@Ubuntu-Router:~$ cat br_start.sh
   
2. #~ /bin/sh
   
3. 
   
4. brctl addbr br0
   
5. brctl addif br0 eth0
   
6. brctl addif br0 eth2
   
7. ifconfig eth1 192.168.1.4
   
8. ifconfig br0 up 192.168.146.132
   
9. ifconfig eth0 0.0.0.0
   
10. ifconfig eth2 0.0.0.0
    
11. 
    
12. ./br.sh
    
13. xxx@Ubuntu-Router:~$ cat br.sh
    
14. #! /bin/sh
    
15. 
    
16. 
    
17. MAC_ROUTE='00:50:56:ef:22:cb'
    
18. MARK_ID=7
    
19. TABLE_ID=7
    
20. 
    
21. if [ ! -n "$1" ]; then
    
22. echo "set rules"
    
23. TB_CMD=A
    
24. IP_CMD=add
    
25. else
    
26. echo "delete rules"
    
27. TB_CMD=D
    
28. IP_CMD=del
    
29. fi
    
30. 
    
31. ebtables -t nat -${TB_CMD} PREROUTING -p IPv4 -d ${MAC_ROUTE} -i eth2 --ip-proto tcp --ip-dport 23 -j redirect
    
32. iptables -t mangle -${TB_CMD} PREROUTING -m physdev --physdev-in eth2 -s 192.168.146.0/24 -p tcp --dport 23 -j MARK --set-mark ${MARK_ID}
    
33. ip ru ${IP_CMD} fwmark ${MARK_ID} table ${TABLE_ID}
    
34. ip ro ${IP_CMD} default via 192.168.1.1 dev eth1 table ${TABLE_ID}
    
35. iptables -t nat -${TB_CMD} POSTROUTING -o eth1 -s 192.168.146.0/24 -p tcp --dport 23 -j MASQUERADE
    

復制代碼

kkddkkdd11

版主 試試
iptables -t nat -A prerouting -p tcp -s 192.168.1.0/24 --dport 22 -j DNAT  --to 192.168.5.3:22
這樣ok嗎？

iceblood

不可以。將來外網(wǎng)不只有192.168.5.3這一臺SSH，而是整個互聯(lián)網(wǎng)的SSH

humjb_1983

瀚海書香 發(fā)表于 2014-01-16 13:26
網(wǎng)絡拓撲如下：

相關(guān)流程不是太熟哈，從調(diào)試的角度，
1、能否在LINUX服務器的eth2上抓一下，是否有發(fā)往192.168.5.3
2、如果沒有，就需要在LINUX服務器的相關(guān)內(nèi)核流程中打點跟一下數(shù)據(jù)流向了。

hulidong971

因為PC（192.168.1.2）是通過Linux Server的Bridge Port連接到網(wǎng)關(guān)192.168.1.1，所以Linux Server看不到PC發(fā)送報文的的三層信息而是直接Bridge 到192.68.1.1. iptables的規(guī)則不會用到，ebtable的規(guī)則可以。

hulidong971

建議在Linux Server上使用路由表來滿足需求

瀚海書香

回復 5# hulidong971

因為PC（192.168.1.2）是通過Linux Server的Bridge Port連接到網(wǎng)關(guān)192.168.1.1，所以Linux Server看不到PC發(fā)送報文的的三層信息而是直接Bridge 到192.68.1.1. iptables的規(guī)則不會用到，ebtable的規(guī)則可以。

net.bridge.bridge-nf-call-iptables = 1

iptables的規(guī)則是用到的，而且通過命令查看，數(shù)據(jù)包匹配了iptables規(guī)則。

   

瀚海書香

回復 6# hulidong971

建議在Linux Server上使用路由表來滿足需求

可否大體說一下？
應該是網(wǎng)橋和路由配合的問題，只是修改路由表應該不行吧
   

奇門遁甲-lu

數(shù)據(jù)在到路由器上，路由再發(fā)給server.
PC->路由器->server->ssh