linux实现网桥和路由功能

kkddkkdd11

sdau 发表于 2014-01-23 10:24
我碰到过这个场景，也没有用到ebtables。。。。只需要那一条iptables就可以，我感觉是路由表的问题

走路由的话，traceroute 会多跳，版主说不改变，现有网络结构...

sdau

回复 19# kkddkkdd11


    当然不改变物理的拓扑结构，traceroute多一跳有关系么？

kkddkkdd11

sdau 发表于 2014-01-23 15:27
回复 19# kkddkkdd11

  多一跳 有时候 会让 经常 ssh的人 崩溃的

sdau

回复 21# kkddkkdd11


    有道理，比如扫描别人时。。。。

瀚海书香

回复 18# sdau

我碰到过这个场景，也没有用到ebtables。。。。只需要那一条iptables就可以，我感觉是路由表的问题

你确定这个场景？
设置的路由就所有的数据包都走eth2

   

sdau

回复 23# 瀚海书香


    可以把linux服务器上的 route -n 结果发一下么？

bfdhczw

楼主试试这个，我自己已经调通了。
#ebtables -t broute -A BROUTING -i eth0 -p ipv4 --ip-proto tcp --ip-dport 22 -d ${MAC_ROUTE} -j redirect --redirect-target DROP
#iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -p tcp --dport 22 -j MARK --set-mark ${MARK_ID}
#ip ru add fwmark ${MARK_ID} table ${TABLE_ID}
#ip ro add default via ${gw for 192.168.5.*} dev eth2 table ${TABLE_ID}
#iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -p tcp --dport 22 -j MASQUERADE

瀚海书香

回复 25# bfdhczw
好的，我抽空试试

   

cornia

mark 一下，回头再研究

iceblood

bfdhczw 发表于 2014-01-23 18:34
楼主试试这个，我自己已经调通了。
#ebtables -t broute -A BROUTING -i eth0 -p ipv4 --ip-proto tcp --i ...

兄弟，貌似我失败了……
Linux网桥规则如下：

1. 
   
2. [root@localhost ~]# iptables-save
   
3. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
   
4. *mangle
   
5. :PREROUTING ACCEPT [60922:17779059]
   
6. :INPUT ACCEPT [342:27360]
   
7. :FORWARD ACCEPT [60721:17763129]
   
8. :OUTPUT ACCEPT [138:16499]
   
9. :POSTROUTING ACCEPT [60859:17775522]
   
10. -A PREROUTING -s 192.168.1.0/24 -i eth2 -p tcp -m tcp --dport 23 -j MARK --set-xmark 0xa/0xffffffff
    
11. COMMIT
    
12. # Completed on Sun Jan 26 10:35:55 2014
    
13. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
    
14. *filter
    
15. :INPUT ACCEPT [936:79083]
    
16. :FORWARD ACCEPT [213611:75675340]
    
17. :OUTPUT ACCEPT [363:42875]
    
18. COMMIT
    
19. # Completed on Sun Jan 26 10:35:55 2014
    
20. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
    
21. *nat
    
22. :PREROUTING ACCEPT [6665:324997]
    
23. :POSTROUTING ACCEPT [6660:324728]
    
24. :OUTPUT ACCEPT [0:0]
    
25. -A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 23 -j MASQUERADE
    
26. COMMIT
    
27. # Completed on Sun Jan 26 10:35:55 2014
    
28. [root@localhost ~]# ebtables-save
    
29. # Generated by ebtables-save v1.0 on Sun Jan 26 10:36:02 CST 2014
    
30. *filter
    
31. :INPUT ACCEPT
    
32. :FORWARD ACCEPT
    
33. :OUTPUT ACCEPT
    
34. 
    
35. *broute
    
36. :BROUTING ACCEPT
    
37. -A BROUTING -p IPv4 -d ac:f1:df:40:ae:de -i eth2 --ip-proto tcp --ip-dport 23 -j redirect  --redirect-target DROP
    
38. 
    
39. [root@localhost ~]# ip ru
    
40. 0:      from all lookup local
    
41. 32763:  from all fwmark 0xa lookup 10
    
42. 32764:  from all fwmark 0xa lookup 10
    
43. 32765:  from all fwmark 0xa lookup 10
    
44. 32766:  from all lookup main
    
45. 32767:  from all lookup default
    
46. [root@localhost ~]# ip ro
    
47. 10.x.x.1/29 dev eth0  proto kernel  scope link  src 10.x.x.x
    
48. 192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.250
    
49. 169.254.0.0/16 dev eth0  scope link  metric 1002
    
50. 169.254.0.0/16 dev br0  scope link  metric 1005
    
51. default via 10.x.x.1 dev eth0
    
52. [root@localhost ~]#
    

复制代码

Windows 192.168.1.107的运行结果。

1. 
   
2. Microsoft Windows [版本 6.1.7600]
   
3. 版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
   
4. 
   
5. C:\Users\Administrator>telnet 10.x.99.1
   
6. 正在连接10.x.99.1...无法打开到主机的连接。 在端口 23: 连接失败
   

复制代码