基于策略路由的IP地址控制

andyliu

啊哦，真的加入原创精华了耶，恭喜恭喜！

platinum

要不是大家帮忙顶，我估计就沉了～～～

hrcxf

eth0 192.111.1.4 255.255.255.0 连接192.111.1.0/24
eth1 192.111.2.1 255.255.255.0 连接192.111.2.0/24
eth2 210.xxx.xxx.xxx 255.255.255.248(连接internet)
1、要求192.111.1.0/24和192.111.2.0/24都能上internet
2、192.111.2.0/24不能访问192.111.1.0/24
3、192.111.1.66/32能访问192.111.2.0/24
除了用iptables实现以外，我想用ip route;ip rule实现.


这是我写的路游策略,不知道错在哪里?
ip route add 192.111.1.0/24 via 192.111.2.1 table goodnet1 proto static
ip route add default via 201.xxx.xxx.xx table goodnet1 proto static

ip route add 192.111.2.0/24 via 192.111.1.4 table goodnet2 proto static
ip route add default via xxx.xx.xxx.xx table goodnet2 proto static

ip rule add from 192.111.1.0/24 pref 15002 table goodnet1
ip rule add from 192.111.2.0/24 pref 15003 table goodnet2
ip rule add to 192.111.1.66 pref 15004 table goodnet2

#ip route flush table goodnet1
#ip route flush table goodnet2

/sbin/iptables -t nat -A POSTROUTING -s 192.111.1.0/24 -o eth2 -j SNAT --to xxx.xxx.xxx.xxx
/sbin/iptables -t nat -A POSTROUTING -s 192.111.2.0/24 -o eth1 -j SNAT --to xxx.xxx.xxx.xxx

platinum

有错误提示吗？
能把最后的信息给我看看吗？
ip route
ip route list table goodnet1
ip route list table goodnet2
ip rule
我看看这四个，里面的IP需要保密的，可以改一下

aborigen

原帖由 "andyliu" 发表：


具体数据什么的我没查过，但以前我给一家公司实现线路备份，起先用一台PC装RH7.2加3块网卡来实现正常使用时用专线，断线备份线路用ADSL，但实际效果不行，机器经常死机（当然，也有可能我用的计算机不行，我用的?.........

1. 机器经常死机
   

复制代码

这个....说不上来.....不过即使linux＋ip route都能达到硬件一样甚至更好的效果，是有前提的：用的人很熟悉相关的东西。很多用路由的人没法花很多时间来学习。

platinum

恩，兼容性很重要，有的看着很烂的电脑，性能未必比“联想什么天歇”、方正什么的差，甚至比他们要好N倍（兼容性、稳定性，不是速度）

另外，确实和个人能力也有关系

llzqq

用专业的ROUTER软件ZEBRA做个性能超越CISCO硬件的ROUTER很容易。

platinum

[quote]原帖由 "llzqq"]用专业的ROUTER软件ZEBRA做个性能超越CISCO硬件的ROUTER很容易。[/quote 发表：


也许是我笨吧，我虽然接触过几年的LINUX，但没接触过CCNA和NP，那个软件我一点都不会用，好像就是个路由器

说实话，我不赞同在LINUX上用模拟类似CISCO功能的路由软件，把LINUX搞的和路由器提示一样

cup_coffee

使用PC加网卡对付100－200人上网是没有问题的，并不是说使用cisco路由器一定稳定，使用PC＋网卡就不一定不好，具体还是要看你的PC LINUX系统，如果你的LINUX编译的很精简，把很多不必要的东西去掉。那么LINUX可以达到甚至超过路由器。

cup_coffee

为什么使用多路由表来达到呢？使用一个路由表加上访问策略也可以实现啊