>source

인터넷 < -> (wan) BRIDGED_DEVICE (lan) < -> ETH_ROUTER < -> LAN

문제 :
ROUTER를 통해 INTERNET에서 BRIDGED_DEVICE의 LAN에있는 웹 서버에 액세스해야합니다 (BRIDGED_DEVICE 웹 서버는 공용 관리 IP가 없기 때문에 INTERNET에서 액세스 할 수 없습니다).

시도 :
ETH_ROUTER에 보조 /별칭 WAN 인터페이스를 만듭니다 (예 : 기본 : eth0.1 (인터넷 액세스 용) 및 보조 : eth0.2 (BRIDGED_DEVICE에서 웹 서버 액세스 용), (VLAN 없음)).

  • eth0.1에는 공용 IP가 있습니다.
  • eth0.2는 BRIDGED_DEVICE의 서브넷에 고정 개인 IP를 가지고 있습니다 (예 : 10.0.X.Y).

ETH_ROUTER의 Iptables : eth0.1에서 eth0.2로 포트 포워드 (DNAT)를 추가했습니다.

iptables -t nat -I PREROUTING -i eth0.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.X.Y
iptables -t nat -I POSTROUTING -o eth0.2 -s 10.0.X.0/24 -j MASQUERADE

FORWARD 체인에 대한 전체 삭제 정책이있는 상태 저장 방화벽, 따라서 :

iptables -I FORWARD -i eth0.1 -d 10.0.X.Y -p tcp --dport 80 -j ACCEPT

ETH_ROUTER에서 BRIDGED_DEVICE로 ping 할 수 있지만 인터넷에서 웹 서버에 연결할 수 없습니다. DNAT 규칙에 대해 패킷이 계속 증가하는 것을 보았지만 그 후 ETH_ROUTER에서 어디에서 사라지는 지 확실하지 않습니다.

ETH_ROUTER는이를 위해 구성 할 수있는 유일한 장치입니다.

이 시나리오에 익숙하다면 여기에서 누락되거나 잘못되었을 수있는 사항을 제안하거나 디버깅 기술을 제안 하시겠습니까?


  • 답변 # 1

    브리지 된 기기의 기본 게이트웨이와 브리지 된 기기에서 인터넷으로의 전달 규칙도 확인합니다. 인터넷 소스 IP에 신경 쓰지 않는다면 라우터에서 브리지 된 장치로 소스 NAT를 추가 할 수 있습니다.

    죄송합니다. 브리지 된 장치를 구성 할 수 없으며 ETH_ROUTER에서 모든 작업을 수행해야한다는 것을 잊었습니다. 감사.

    sjose1092021-02-22 08:50:56

    글쎄, 따라서 패킷을 brdged 장치로 리디렉션하려면 먼저 dnat해야하고 브리지 장치가 라우터에서 나온 것으로 믿도록 패킷을 스내하거나 가장하는 것보다해야합니다.

    user707602021-02-22 08:50:56
  • 이전 shell : find -exec에서 출력을 파이핑하고 리디렉션하기위한 올바른 위치?
  • 다음 linux : systemd 서비스 파일 : Restart= on-failure는 Type= oneshot 서비스에 허용되지 않습니다.