linux实现网桥和路由功能

瀚海书香

网络拓扑如下：


linux服务器3个网口（eth0, eth1,eth2) 其中eth0和eth1组成网桥br0。
PC接到eth0, eth1接到路由器，默认PC上网的数据包通过网桥走。PC（192.168.1.2）去访问192.168.5.3的时候被路由器NAT为192.168.5.1

现在想让PC(192.168.1.2）去访问192.168.5.3的ssh的时候通过192.168.5.2访问
我在LINUX服务器上做了如下规则,我在pc上ssh 192.168.5.3,结果数据包匹配了两条规则，但是syn没有到192.168.5.3

#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -p tcp --dport 22 -j SNAT --to-source 192.169.5.2
#ebtables -t nat -A PREROUTING -p ipv4 --ip-proto tcp --ip-dport 23 -i eth2 -d ${MAC_ROUTE} -j dnat --to-destination ${MAC_LINUX_br0}

有人遇到过这种应用场景吗？

bfdhczw

回复 32# iceblood
终于搞定了，你再试试看。
eth0接路由器
eth2接内网

1. xxx@Ubuntu-Router:~$ cat br_start.sh
   
2. #~ /bin/sh
   
3. 
   
4. brctl addbr br0
   
5. brctl addif br0 eth0
   
6. brctl addif br0 eth2
   
7. ifconfig eth1 192.168.1.4
   
8. ifconfig br0 up 192.168.146.132
   
9. ifconfig eth0 0.0.0.0
   
10. ifconfig eth2 0.0.0.0
    
11. 
    
12. ./br.sh
    
13. xxx@Ubuntu-Router:~$ cat br.sh
    
14. #! /bin/sh
    
15. 
    
16. 
    
17. MAC_ROUTE='00:50:56:ef:22:cb'
    
18. MARK_ID=7
    
19. TABLE_ID=7
    
20. 
    
21. if [ ! -n "$1" ]; then
    
22. echo "set rules"
    
23. TB_CMD=A
    
24. IP_CMD=add
    
25. else
    
26. echo "delete rules"
    
27. TB_CMD=D
    
28. IP_CMD=del
    
29. fi
    
30. 
    
31. ebtables -t nat -${TB_CMD} PREROUTING -p IPv4 -d ${MAC_ROUTE} -i eth2 --ip-proto tcp --ip-dport 23 -j redirect
    
32. iptables -t mangle -${TB_CMD} PREROUTING -m physdev --physdev-in eth2 -s 192.168.146.0/24 -p tcp --dport 23 -j MARK --set-mark ${MARK_ID}
    
33. ip ru ${IP_CMD} fwmark ${MARK_ID} table ${TABLE_ID}
    
34. ip ro ${IP_CMD} default via 192.168.1.1 dev eth1 table ${TABLE_ID}
    
35. iptables -t nat -${TB_CMD} POSTROUTING -o eth1 -s 192.168.146.0/24 -p tcp --dport 23 -j MASQUERADE
    

复制代码

kkddkkdd11

版主 试试
iptables -t nat -A prerouting -p tcp -s 192.168.1.0/24 --dport 22 -j DNAT  --to 192.168.5.3:22
这样ok吗？

iceblood

不可以。将来外网不只有192.168.5.3这一台SSH，而是整个互联网的SSH

humjb_1983

瀚海书香 发表于 2014-01-16 13:26
网络拓扑如下：

相关流程不是太熟哈，从调试的角度，
1、能否在LINUX服务器的eth2上抓一下，是否有发往192.168.5.3
2、如果没有，就需要在LINUX服务器的相关内核流程中打点跟一下数据流向了。

hulidong971

因为PC（192.168.1.2）是通过Linux Server的Bridge Port连接到网关192.168.1.1，所以Linux Server看不到PC发送报文的的三层信息而是直接Bridge 到192.68.1.1. iptables的规则不会用到，ebtable的规则可以。

hulidong971

建议在Linux Server上使用路由表来满足需求

瀚海书香

回复 5# hulidong971

因为PC（192.168.1.2）是通过Linux Server的Bridge Port连接到网关192.168.1.1，所以Linux Server看不到PC发送报文的的三层信息而是直接Bridge 到192.68.1.1. iptables的规则不会用到，ebtable的规则可以。

net.bridge.bridge-nf-call-iptables = 1

iptables的规则是用到的，而且通过命令查看，数据包匹配了iptables规则。

   

瀚海书香

回复 6# hulidong971

建议在Linux Server上使用路由表来满足需求

可否大体说一下？
应该是网桥和路由配合的问题，只是修改路由表应该不行吧
   

奇门遁甲-lu

数据在到路由器上，路由再发给server.
PC->路由器->server->ssh