linux实现网桥和路由功能

bfdhczw

回复 32# iceblood
终于搞定了，你再试试看。
eth0接路由器
eth2接内网

1. xxx@Ubuntu-Router:~$ cat br_start.sh
   
2. #~ /bin/sh
   
3. 
   
4. brctl addbr br0
   
5. brctl addif br0 eth0
   
6. brctl addif br0 eth2
   
7. ifconfig eth1 192.168.1.4
   
8. ifconfig br0 up 192.168.146.132
   
9. ifconfig eth0 0.0.0.0
   
10. ifconfig eth2 0.0.0.0
    
11. 
    
12. ./br.sh
    
13. xxx@Ubuntu-Router:~$ cat br.sh
    
14. #! /bin/sh
    
15. 
    
16. 
    
17. MAC_ROUTE='00:50:56:ef:22:cb'
    
18. MARK_ID=7
    
19. TABLE_ID=7
    
20. 
    
21. if [ ! -n "$1" ]; then
    
22. echo "set rules"
    
23. TB_CMD=A
    
24. IP_CMD=add
    
25. else
    
26. echo "delete rules"
    
27. TB_CMD=D
    
28. IP_CMD=del
    
29. fi
    
30. 
    
31. ebtables -t nat -${TB_CMD} PREROUTING -p IPv4 -d ${MAC_ROUTE} -i eth2 --ip-proto tcp --ip-dport 23 -j redirect
    
32. iptables -t mangle -${TB_CMD} PREROUTING -m physdev --physdev-in eth2 -s 192.168.146.0/24 -p tcp --dport 23 -j MARK --set-mark ${MARK_ID}
    
33. ip ru ${IP_CMD} fwmark ${MARK_ID} table ${TABLE_ID}
    
34. ip ro ${IP_CMD} default via 192.168.1.1 dev eth1 table ${TABLE_ID}
    
35. iptables -t nat -${TB_CMD} POSTROUTING -o eth1 -s 192.168.146.0/24 -p tcp --dport 23 -j MASQUERADE
    

复制代码

bfdhczw

看楼主的意思是要先用ebtables将数据重定向到br0，然后再做snat？

1、确认linux server上是否开启了路由转发功能，否则数据包就被直接丢掉了；
2、iptables & ebtables中的端口号确认是对的，为何一个是22，另一个是23？

bfdhczw

linux server上必须要做桥吗？可不可以不做桥，只做路由，这样应该就比较好配了。

bfdhczw

楼主试试这个，我自己已经调通了。
#ebtables -t broute -A BROUTING -i eth0 -p ipv4 --ip-proto tcp --ip-dport 22 -d ${MAC_ROUTE} -j redirect --redirect-target DROP
#iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 22 -j MARK --set-mark ${MARK_ID}
#ip ru add fwmark ${MARK_ID} table ${TABLE_ID}
#ip ro add default via ${gw for 192.168.5.*} dev eth2 table ${TABLE_ID}
#iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -p tcp --dport 22 -j MASQUERADE

bfdhczw

回复 28# iceblood
ip ro ls table 10
这个结果看看？

   

bfdhczw

回复 30# iceblood

上周还好好的，怎么这周就又不行了，我再试试。
   

bfdhczw

回复 34# iceblood

iceblood 发表于 2014-01-27 23:02
连脚本都写好了，真是到位。明天我试试，成功了请你吃饭。
另外实际环境还要恶劣……br0其实没有IP… ...

好吧，赶紧请我吃饭。

为啥br0没有IP，至于这么抠门儿么，一个内网IP都舍不得？

如果你只是不希望br0对外显示出ip特性，可以试试这个办法。

1. ifconfig br0 ${ROUTER_IP}
   
2. ip route change ${ROUTER_IP} dev br0  proto kernel scope link table local

复制代码

如果br0根本就不能配置IP，貌似只能编程实现了，修改内核路由部分代码吧。

bfdhczw

回复 39# iceblood

那你就按37楼那个办法吧，应该是可以的。
   

bfdhczw

回复 41# iceblood

意思是你希望所有流经linux服务器的数据都是带vlan tag的？

按我的理解，vlan tag属于第二层，路由&NAT是第三层，从eth2出去的数据都是经过路由&NAT处理的，因此已经没有了vlan tag，所以你可能需要额外的策略来重新打上vlan tag。