请教：我这样的网络拓布结构可否实现？如何实现？谢谢！《有图》

ssffzz1

原帖由 star0395 于 2007-5-29 18:46 发表于 10楼  
ssffzz1兄 这个   目的地址 192.168.0.0   网关 192.168.1.254   是否是在LINUX防火墙上执行的route add -net 指令吗？

是在你的TP-LINK路由器上执行的。但我不知道具体应该怎么做，我对TP-LINK不熟悉，也许它不支持手工添加路由表。

star0395

我的做法如下述：
电信ADSL+TP－LIND路由器拨号上网－》linux防火墙两块网卡，ETH0为192.168.1.3 ETH1IP为192.168.0.1，在路由器执行静态路由指令，开启转发，0字段的客户端可以上网了，但0字段的客户端无法在内网访问远程安防主机192.168.1.2，有无办法解决？请ssffzz1兄赐教，也请高手们帮忙解决！谢谢

在风中飘荡

要没做条到192.168.1.2的snat规则，要没在192.168.1.2加条到0网段的路由。

ssffzz1

192.168.1.2的默认网关应该是TP-LINK的路由器的IP。
解决方法1：
在TP-LINK路由器上加入路由
目的：192.168.0.0/24 下一跳地址：192.168.1.254（LINUX机器）

解决方法2：
在192.168.1.2的机器加入：
目的：192.168.0.0/24 下一跳地址：192.168.1.254（LINUX机器）

LINUX的机器不需要做任何NAT，只需要开启转发，默认网关应该是TP-LINK的路由器的IP。

star0395

在LINUX防火墙上执行了脚本后，我的规则是先打开允许的用户。再将FORWARD关闭。iptables -P FORWARD DROP,然后不在防火墙脚本中的用户就不能上网了。这个实属正常，也达到了我的要求。可是这些用户PING 路由器IP：192.168.1.1却不通了（因为1字段有一远程监控主机，内部用户需要使用）。如果执行了iptables -I FORWARD -s 192.168.0.106 -j ACCEPT后。这个106的用户就能PING通1字段的用户，也能使用监控主机了，请问如何解决？

补充说明：我想要的效果就是106这个用户不能上网，但要能PING通1字段的PC，能PING通就可以使用1字段上的远程监控主机了。请教高手帮帮我吧！

[ 本帖最后由 star0395 于 2007-5-30 16:51 编辑 ]

seth99

TP-Link是那种家用的小东西吗？如果是就不要用它来做NAT，有BT的话很容易就死掉的，直接在Linux机器上多安装一张网卡接192.168.1.2的机器，这样又简单又坚固.