linux实现网桥和路由功能

iceblood

不可以。将来外网不只有192.168.5.3这一台SSH，而是整个互联网的SSH

iceblood

bfdhczw 发表于 2014-01-23 18:34
楼主试试这个，我自己已经调通了。
#ebtables -t broute -A BROUTING -i eth0 -p ipv4 --ip-proto tcp --i ...

兄弟，貌似我失败了……
Linux网桥规则如下：

1. 
   
2. [root@localhost ~]# iptables-save
   
3. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
   
4. *mangle
   
5. :PREROUTING ACCEPT [60922:17779059]
   
6. :INPUT ACCEPT [342:27360]
   
7. :FORWARD ACCEPT [60721:17763129]
   
8. :OUTPUT ACCEPT [138:16499]
   
9. :POSTROUTING ACCEPT [60859:17775522]
   
10. -A PREROUTING -s 192.168.1.0/24 -i eth2 -p tcp -m tcp --dport 23 -j MARK --set-xmark 0xa/0xffffffff
    
11. COMMIT
    
12. # Completed on Sun Jan 26 10:35:55 2014
    
13. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
    
14. *filter
    
15. :INPUT ACCEPT [936:79083]
    
16. :FORWARD ACCEPT [213611:75675340]
    
17. :OUTPUT ACCEPT [363:42875]
    
18. COMMIT
    
19. # Completed on Sun Jan 26 10:35:55 2014
    
20. # Generated by iptables-save v1.4.7 on Sun Jan 26 10:35:55 2014
    
21. *nat
    
22. :PREROUTING ACCEPT [6665:324997]
    
23. :POSTROUTING ACCEPT [6660:324728]
    
24. :OUTPUT ACCEPT [0:0]
    
25. -A POSTROUTING -s 192.168.1.0/24 -o eth0 -p tcp -m tcp --dport 23 -j MASQUERADE
    
26. COMMIT
    
27. # Completed on Sun Jan 26 10:35:55 2014
    
28. [root@localhost ~]# ebtables-save
    
29. # Generated by ebtables-save v1.0 on Sun Jan 26 10:36:02 CST 2014
    
30. *filter
    
31. :INPUT ACCEPT
    
32. :FORWARD ACCEPT
    
33. :OUTPUT ACCEPT
    
34. 
    
35. *broute
    
36. :BROUTING ACCEPT
    
37. -A BROUTING -p IPv4 -d ac:f1:df:40:ae:de -i eth2 --ip-proto tcp --ip-dport 23 -j redirect  --redirect-target DROP
    
38. 
    
39. [root@localhost ~]# ip ru
    
40. 0:      from all lookup local
    
41. 32763:  from all fwmark 0xa lookup 10
    
42. 32764:  from all fwmark 0xa lookup 10
    
43. 32765:  from all fwmark 0xa lookup 10
    
44. 32766:  from all lookup main
    
45. 32767:  from all lookup default
    
46. [root@localhost ~]# ip ro
    
47. 10.x.x.1/29 dev eth0  proto kernel  scope link  src 10.x.x.x
    
48. 192.168.1.0/24 dev br0  proto kernel  scope link  src 192.168.1.250
    
49. 169.254.0.0/16 dev eth0  scope link  metric 1002
    
50. 169.254.0.0/16 dev br0  scope link  metric 1005
    
51. default via 10.x.x.1 dev eth0
    
52. [root@localhost ~]#
    

复制代码

Windows 192.168.1.107的运行结果。

1. 
   
2. Microsoft Windows [版本 6.1.7600]
   
3. 版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
   
4. 
   
5. C:\Users\Administrator>telnet 10.x.99.1
   
6. 正在连接10.x.99.1...无法打开到主机的连接。 在端口 23: 连接失败
   

复制代码

iceblood

bfdhczw 发表于 2014-01-26 11:14
回复 28# iceblood
ip ro ls table 10
这个结果看看？

[root@localhost ~]# ip ro ls table 10
default via 10.x.x.1 dev eth0
[root@localhost ~]# cat ttt.sh
MAC_ROUTE='ac:f1:df:40:ae:de'
MARK_ID=10
TABLE_ID=10
ebtables -t broute -A BROUTING -i eth2 -p ipv4 --ip-proto tcp --ip-dport 23 -d ${MAC_ROUTE} -j redirect --redirect-target DROP
iptables -t mangle -A PREROUTING -i eth2 -s 192.168.1.0/24 -p tcp --dport 23 -j MARK --set-mark ${MARK_ID}
ip ru add fwmark ${MARK_ID} table ${TABLE_ID}
ip ro add default via 10.x.x.1 dev eth0 table ${TABLE_ID}
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -p tcp --dport 23 -j MASQUERADE

[root@localhost ~]# arp -an
? (192.168.1.1) at ac:f1:df:40:ae:de [ether] on br0
? (10.14.1.145) at 78:1d:ba:88:f8:dc [ether] on eth0

iceblood

bfdhczw 发表于 2014-01-27 10:00
回复 30# iceblood

上周还好好的，怎么这周就又不行了，我再试试。

慢慢来，一起想想。我也在想解决方法。

iceblood

连脚本都写好了，真是到位。明天我试试，成功了请你吃饭。
另外实际环境还要恶劣……br0其实没有IP……
但不管如何我先非常的感谢，明天我先试试再继续讨论。

iceblood

我非常高兴，解决了。功能实现了。
不过能不能再挑战个更高的层次？
br0没有IP，有没有可能做？

iceblood

这是因为这个设备实际是挂外网的。
而且是挂载用户和设备之间，如果这个设备需要IP，就需要从用户那里抠一个IP出来。这样的话用户是不会同意的。

iceblood

bfdhczw 发表于 2014-02-07 11:02
回复 34# iceblood

好吧，赶紧请我吃饭。

如果有机会是真要请。
这是因为这个设备实际是挂外网的。
而且是挂载用户和设备之间，如果这个设备需要IP，就需要从用户那里抠一个IP出来。这样的话用户是不会同意的。

iceblood

bfdhczw 发表于 2014-02-08 09:36
回复 39# iceblood

那你就按37楼那个办法吧，应该是可以的。

如果经过这个网桥有2个VLAN，流量都是以VLAN的形式经过的，我过年前测试的时候没有配置VLAN，之前的那个配置会不会失效？
因为有一种这样的情况，用户的设备和运营商设备是通过VLAN的，而我不能改变用户的网络结构，就意味着VLAN不可以在我这里单方面取消，这样就出现好几个VLAN经过网桥的情况，同时也意味着用户经过的是2个以上的网关，因为多个VLAN。

iceblood

两种情况，一种是没有VLAN ，可以直接将22或者23这样的端口转到那个非网桥网卡出口访问目标服务。就是你给我的那套规则实现。
另一种带VLAN的，就需要从VLAN里识别出目标为22和23端口，引向非网桥网卡出口访问服务，而其他的还是在VLAN内通过网桥。
你是否有QQ？我们能否QQ沟通？