二级路由的逆向访问问题

feng32tc

如图所示，有2个路由器，其中路由1是普通路由器，通过ADSL接入Internet。

路由2是双线路由器。首先配置好vlan，然后加入以下防火墙脚本，就能同时访问内网和外网资源了。

1. ifconfig vlan3 172.19.3.119 netmask 255.255.255.0
   
2. route add -net 172.16.0.0 netmask 255.255.0.0 gw 172.19.3.1
   
3. iptables -t nat -I POSTROUTING -d 172.16.0.0/16 -o vlan3 -j MASQUERADE

复制代码

我的问题是，有没有可能让路由1也能访问内网资源？如果可以，那么脚本应该怎么写？

（因为布线的原因，两个路由器最好各各带3个有线客户端，虽然校园网接在路由1上显然更合理，但是再加上级联的线就只能挂2个有线客户端了）

chenyx

router1上能添加静态路由不?
可以的话,添加一条172.16.0.0/16的静态路由,指向router2的vlan1的ip.
应该就可以访问了.

feng32tc

chenyx 发表于 2012-03-10 20:24
router1上能添加静态路由不?
可以的话,添加一条172.16.0.0/16的静态路由,指向router2的vlan1的ip.
应该就 ...

这个已经试过了，似乎还不行。

1. route add 172.16.0.0/16 gw 192.168.1.2

复制代码

其中192.168.1.2是Router 2的WAN口IP地址

Router 2从WAN口收到一个目标是172.16.x.x的IP报文会自动把它发到vlan3接口吗，是不是还要在Router 1上加入一些防火墙规则？

默认似乎报文会首先通过nat表的PREROUTING链，然后是是filter表的FORWARD链，最后是nat表的POSTROUTING链。在默认的规则下报文能够正常转发吗？还有PING报文返回时，又是如何回到Router 1下的主机中的呢？

feng32tc

这个是filter表的默认配置，已经确定是FORWARD链的规则把报文丢弃了

1. root@unknown:/tmp/home/root# iptables -t filter -L -n -v
   
2. Chain INPUT (policy DROP 23430 packets, 1112K bytes)
   
3. pkts bytes target     prot opt in     out     source               destination
   
4. 1006  154K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
   
5. 29496 4795K ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
   
6. 27571 4139K ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
   
7.   172 22157 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   
8. 
   
9. Chain FORWARD (policy DROP 12 packets, 1008 bytes)
   
10. pkts bytes target     prot opt in     out     source               destination
    
11.   15M   16G ACCEPT     all  --  *      br0     0.0.0.0/0            0.0.0.0/0
    
12. 33771 1478K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID
    
13. 138K 7372K TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
    
14.   12M 1378M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    
15.    12  1008 wanin      all  --  vlan1  *       0.0.0.0/0            0.0.0.0/0
    
16. 289K   19M wanout     all  --  *      vlan1   0.0.0.0/0            0.0.0.0/0
    
17. 294K   24M ACCEPT     all  --  br0    *       0.0.0.0/0            0.0.0.0/0
    
18.    12  1008 upnp       all  --  vlan1  *       0.0.0.0/0            0.0.0.0/0
    
19. 
    
20. Chain OUTPUT (policy ACCEPT 74818 packets, 21M bytes)
    
21. pkts bytes target     prot opt in     out     source               destination
    
22. 
    
23. Chain upnp (1 references)
    
24. ...
    
25. 
    
26. Chain wanin (1 references)
    
27. pkts bytes target     prot opt in     out     source               destination
    
28.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.32        tcp dpt:5617
    
29.     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.2.32        udp dpt:5627
    
30. 
    
31. Chain wanout (1 references)
    
32. pkts bytes target     prot opt in     out     source               destination

复制代码

feng32tc

回复 4# feng32tc

在wanin chain中加了一条ACCEPT规则，这样报文就不会在filter的FORWARD链中被丢弃了，不过还是PING不通

1. Chain wanin (1 references)
   
2. pkts bytes target     prot opt in     out     source               destination
   
3.     2   168 ACCEPT     all  --  *      *       0.0.0.0/0            172.16.0.0/16
   
4.     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            192.168.2.32        tcp dpt:5617
   
5.     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            192.168.2.32        udp dpt:5627

复制代码

feng32tc

回复 5# feng32tc


问题已解决，多谢chenyx