まあ、一枚の写真が千語の言葉よりも優れています。プライベートサブネット3つ:
+-----+ +-----+
| PC2 | | PC3 |
Linux | .2 | | .3 |
__ +----------+ +-----+ +-----+
i \ | .1| | |
n ) +-----+ | ------|-----+----------+-----
t ( | | 192.168.0.0/24 |.1/ / |eth1 192.168.1.0/24
e > ----|FW .2|------------------| < LR X |
r ( | | eth0| \ \ |eth2 192.168.2.0/24
n ) +-----+ | ------|-----+----------+-----
e__/ | .1| | |
+----------+ +-----+ +-----+
Router | .4 | | .5 |
| PC4 | | PC5 |
+-----+ +-----+
Linuxルーター:
ifcace eth0 inet static
address 192.168.0.1/24
gateway 192.168.0.2
dns-nameservers 8.8.8.8
ifcace eth1 inet static
address 192.168.1.1/24
ifcace eth2 inet static
address 192.168.2.1/24
PCx(..1.x):
ifcace eth0 inet static
address 192.168.1.x/24
gateway 192.168.1.1
dns-nameservers 8.8.8.8
PCx(..2.x):
ifcace eth0 inet static
address 192.168.2.x/24
gateway 192.168.2.1
dns-nameservers 8.8.8.8
LR
# echo "1" > /proc/sys/net/ipv4/ip_forward
# ip route list
default via 192.168.0.2 dev eth0 onlink
192.168.0.0/24 dev eth0 proto kernel scope link src 192.168.0.1
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
192.168.2.0/24 dev eth2 proto kernel scope link src 192.168.2.1
Linuxルーターは簡単にFWをpingし、公衆インターネットと通信できます。 LRはすべてのPCにpingを送ることもできます。 PCxは192.168.0.1
アドレスをpingできますが、FWをpingすることはできません192.168.0.2
(ホストにアクセスできません)。
192.168.1.0/24
との間にルーティングする意図はありませんが、FWを介して192.168.2.0/24
公衆インターネットに接続しようとする強い風があります。 iptables NATを使用すると、2つのファイアウォールを直列に構成することが可能であることがわかりますが、それが私たちに必要なわけではありません。単純な静的パスを好む。
「IPルール」を設定するのに役立つ可能性があるメモを検索しましたが、方法がわかりませんでした。
期待しているルーティングを設定するための設定が何であるかを教えてください。
ip route
潜在的に強力なツールですが、例を含むいくつかの明確なチュートリアルが非常に役立ちます。
ベストアンサー1
NAT(Network Address Translation)は、ローカルLAN IPが何であるかを特に気にしません。知っているのは、外部インターフェイスからインターネットに転送されるすべてのトラフィックが、外部インターフェイスのパブリックIPと一致するIPパケットの「発信」アドレスを転送する必要があることです。ファームウェア。したがって、チャートが機能しない理由はありません。出る輸送。
ただし、トラフィックが戻ってくると、再び「宛先」IPアドレスが転送されます。ファームウェア外部インターフェイスの場合、NATはNATテーブルに書き込まれた元の192.168.X.0/24アドレスと一致するように「To」アドレスを誠実に変換します。ここで問題が始まります。元のアドレスが192.168.0.x/24の場合は問題ありません。ファームウェアそのネットワークにはインターフェイスがあるため、これらのホストに直接接続する方法を知っています。
ただし、元のIPが192.168.1.xまたは192.168.2.xの場合ファームウェアこのIPがどこにあるのかわかりません。両方のネットワークにインターフェイスがないため、直接アクセスできません。ファームウェア(あなたが言わない限り)これらのIPを再ルーティングする必要があることを知りません。LR〜するLR渡すことができます。
この問題を解決する方法は、固定パスを設定することです。ファームウェアネットワーク192.168.1.0/24および192.168.2.0/24のトラフィックをルーティングする場所を示します。つまり、両方のネットワークを 192.168.0.1 にルーティングします。
ご意見に NAT 機能を使用できると記載されていることを考慮するとファームウェアただし、ルーティングテーブルは変更できません。最も簡単な設定は変更することです。LRルーターの役割からブリッジの役割まで。ブリッジは、ネットワークスイッチとほぼ同じ方法で(各ブリッジインターフェイスのMACアドレスを学習して)、同じネットワークブロードキャストドメイン内の複数のホストを接続することに注意してください。
ルーターを再構成する場合LR足としてポンド(ブリッジeth0、eth1、eth2)、全体として192.168.0.x / 24 IPを使用し、192.168.0.2をすべてのホストのデフォルトゲートウェイに設定し、ファームウェアNATトラフィックを転送するだけでなく、トラフィックが戻ってきたときに問題なく192.168.0.Xネットワークに転送します。