关于网关的 iptables 设置问题 求助 — 谢

2016-01-31 15:40:14 +08:00
 GNiux
求助:想设局域网中的 pi 为 gateway, IP 192.168.1.110.. 路由器为 192.168.1.1 DHCP 在路由器上并设 gateway 为 pi 的 192.168.1.110 。
但实际局域网里的主机无法联通外网,内网可以。
Pi 的 iptables 为:

-A FORWARD -s 192.168.1.0/24 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

不知 iptables 设对没有?
2542 次点击
所在节点    问与答
12 条回复
izoabr
2016-01-31 17:32:45 +08:00
哪 PI 做单臂路由,想干啥呀?中间做啥手脚?

检查下 IP 转发

echo "1" >/proc/sys/net/ipv4/ip_forward
fangdingjun
2016-01-31 18:50:33 +08:00
我就是这样用的, TP-Link 的路由器做交换机, PI 拨号,拨 vpn, 做 SLAAC

@izoabr
GNiux
2016-01-31 23:06:17 +08:00
@izoabr
@fangdingjun
我搞掂啦 hurray!
用来做防火墙啊。 iptables FORWARD :

-s 192.168.1.0/24 -p tcp -j ACCEPT
..............-p udp

POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE (还是 SNAT ?)

(不知是不是都是必要的…)

折腾一天多。。。 pi 只有一块网卡,后来才知道可以搞多 ip 地址,:)
中间还贪玩装了 freeBSD 、 ANDROID-x86 ……
hzqim
2016-01-31 23:43:54 +08:00
@fangdingjun 请问 pi 只有一个网口,既要拨号又要连接交换机,网络拓扑图是怎么的?谢谢。
izoabr
2016-02-01 08:42:50 +08:00
@hzqim 虚拟的,甚至都都不需要多个 IP ,单 IP ,单臂一样路由。
路由器下面好几个主机,只是其中一个主机顶替路由器做高级点的路由。

至于拓扑,可以看看『 ARP 欺骗』的拓扑,一毛一样
izoabr
2016-02-01 08:45:55 +08:00
@GNiux MASQUERADE 肯定是要的
其次 FORWARD 链你也别折腾策略了,直接默认都 ACCEPT ,都放过去就得了,有那点计算资源别浪费,内网交换有什么好防护的呀。

关键点,就两个,如果 FORWARD 链没有 DENY ,那就做 MASQUERADE ,以及打开 IP 转发。你那个-o eth0 参数都没必要其实。
fangdingjun
2016-02-01 09:18:50 +08:00
@hzqim
把插在路由器 WAN 口上的那根线插在 LAN 口上, PI 就可以拨号了
GNiux
2016-02-01 09:49:27 +08:00
@izoabr 对头,学习了😊
izoabr
2016-02-01 09:52:19 +08:00
@fangdingjun 如果运营商不管的话,你会发现其他任何终端都可以拨号,特别爽,人工多拨走了
hzqim
2016-02-01 12:07:03 +08:00
@fangdingjun 请问 PI 拨号后再通过路由器的 LAN 口共享给其它终端访问网络吗?
fangdingjun
2016-02-01 12:38:14 +08:00
@hzqim
是的, PI 设置成路由模式,其它终端的网关指向 PI
此时路由器的作用就是一交换机


@izoabr
我这里不支持多拨,并且一个终端拨号断开后,另外一个 5 分钟之后才能拨号
GNiux
2016-02-01 19:14:53 +08:00
@fangdingjun
@hzqim
@izoabr
呃…我才知道 做网关的话其实不必做 nat 转发吧,只要 iptables FORWARD 放规则。是这样呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/254611

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX