继续说 N1 做旁路由端口转发的俩坑

2021-03-08 10:16:49 +08:00
 phpfpm

书接前文。 https://www.v2ex.com/t/758394

1 如果转发链设置成 主路由:12345 => N1:12345 => server:123 N1 设置的来源区域是 lan,而不是默认的 Wan 来源 ip 未指定

由于 server 的网关是 N1,当局域网内想访问 some_public_ip:12345 的时候,交给网关 N1,此时会交给 server:123 去处理。

解决方案:换一个端口。 主路由:12345 => N1:12346 => server:123

但是感觉也不完美——访问外部端口仍然可能被打到内网

应该研究一下指定来源 ip

2 N1 的 openwrt 增加端口转发的防火墙设置的时候

n1 小概率防火墙啥都不接受了,只能重启

但是我还不在家 emmm

4977 次点击
所在节点    宽带症候群
11 条回复
blueboyggh
2021-03-08 10:48:58 +08:00
旁路由这玩意还是只适合只需要科学上网的设备单独设置,主路由不要分配旁路由的网关,不然端口转发很头疼
phpfpm
2021-03-08 11:04:01 +08:00
@blueboyggh 所以我一直在想能不能在旁路由加一条防火墙规则改一下回包的 src

SRC-主路由-A-旁路由-主路由-????

主路由 NAT 的时候,无法把这俩包匹配上,因此无法回包给 SRC
updateing
2021-03-08 13:01:25 +08:00
可以考虑主路由换个带策略路由功能的型号,然后主路由负责区分流量该发给 N1 还是直接出外网,内网设备网关也是主路由,XDR5400 只做 AP. 这样就没有端口转发问题了。

另外,原帖问题的解法会造成一个新的大坑:内网客户端不知道真实的访问方 IP,安全策略、访问频率限制啥的可能都不好做。
phpfpm
2021-03-08 14:49:47 +08:00
@updateing 其实也还好,我还有一个专门的公网出口,走 frp+nginx 反代,会把外部的 ip 什么的带上

不过也确实是你说的问题。。我再想想
matolv
2021-03-08 18:06:25 +08:00
phpfpm
2021-03-08 22:49:16 +08:00
@matolv 谢谢,我研究下。
phpfpm
2021-03-08 22:49:59 +08:00
@updateing
在 n1 这边加上源 ip or 源 mac 限制就可以了,问题解决~
whywhywhy
2021-03-09 09:04:25 +08:00
吐槽一下,作为一个 HCNP,居然看不懂你在说什么

12345,12346,123

有种“大家来找茬”的感觉。。。
phpfpm
2021-03-09 09:17:13 +08:00
@whywhywhy 吐槽的非常合理!!!!
llqb
2021-03-17 22:15:52 +08:00
楼主是否已经解决? 目前采用的是转发链的做法 主路由(拨号+关 DHCP) -> N1(DHCP) -> server
之前也遇到了能连上端口但是收不到回包的情况, 但总觉得这个链有点没必要又不知道怎么做
photon006
2021-07-29 21:54:56 +08:00
我是这样处理的,旁路由不动,主路由把防火墙规则“入站”、“转发”都改成接受就行了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/759479

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX