设为首页收藏本站

恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
12
返回列表 发新帖
楼主: flexyangjie

openwrt外接多SSID的AP划分VLAN问题请教

[复制链接]
发表于 2017-3-20 22:50 | 显示全部楼层
nowandthen 发表于 2017-3-20 22:43
因为hg255d开了hwnat,很多跟iptables有关的插件也好好的,如adbyby、mwan3、ss等,所以就一直错觉了。

大部分的Openwrt的机器都不支持硬件NAT的,我也没办法验证。不过我猜测,你说可以用,只要是不涉及NAT过程的软件, 可能影响的程度不是很大。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-20 23:37 | 显示全部楼层
nowandthen 发表于 2017-3-20 22:43
因为hg255d开了hwnat,很多跟iptables有关的插件也好好的,如adbyby、mwan3、ss等,所以就一直错觉了。

另外我又想到了一点东西。
你之前说同网段的防火墙规则禁用80端口可以生效,就是因为同网段之间的IP通信是不需要经过NAT过程的,所以这个可以生效。
但是不同网段之间的IP互访是需要经过NAT过程的,所以你3.X到6.X的规则就失效了,因为HWNAT直接就接管了NAT的过程。     这也印证了我的想法,就是应用程序只要不经过NAT过程的,就基本不会有影响。
另外你可以试试把规则加在RAW表里面,这个是IPTABLES处理的第一顺序,看会不会在HWNAT之前生效。
iptables -t raw -A PREROUTING -s 192.168.6.0/24 -d 192.168.3.1 -p tcp --dport 80 -j DROP
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 08:31 | 显示全部楼层
本帖最后由 nowandthen 于 2017-3-21 09:20 编辑

试过了,hg255d的r1147潘多拉固件。

无论开不开hwnat,都是无法隔离192.168.3.1:80(lan接口网关),包括在RAW表里加规则;
无论开不开hwnat,只要在防火墙或者iptables加上规则,192.168.6.1:80(guest接口网关,INPUT)和192.168.1.1:80(上级光猫,FORWARD)都可以隔离。
无论开不开hwnat,都不影响adbyby、mwan3、ss的使用。开hwnat,影响QOS和Emong's QOS。

50兆宽带(有线或中继),不开hwnat,下载最高5MB/s;开hwnat,下载最高6.8MB/s,稳定下载。
有线50兆+中继50兆,不开hwnat,下载最高4.8MB/s;开hwnat,下载最高11MB/s,稳定下载,不影响刷新网页速度,但普通网页有双ip。

点评

开关HWNAT都是一样的结果的话,那估计就是固件编译的关系了。 题外话,看你的数据,看来HG255D这种老机器真的很需要硬件NAT。我的4530R的OP是没有HWNAT的,不过也能跑满100M的电信带宽。  详情 回复 发表于 2017-3-21 09:16
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 09:16 | 显示全部楼层
nowandthen 发表于 2017-3-21 08:31
试过了,hg255d的r1147潘多拉固件。

无论开不开hwnat,都是无法隔离192.168.3.1:80(lan接口网关),包 ...

开关HWNAT都是一样的结果的话,那估计就是固件编译的关系了。
题外话,看你的数据,看来HG255D这种老机器真的很需要硬件NAT。我的4530R的OP是没有HWNAT的,不过也能跑满100M的电信带宽。

点评

1147隔离192.168.1.1:80要用forward,而170103的隔离.192.168.3.1却用input就可以,为什么?  详情 回复 发表于 2017-3-21 09:24
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 09:24 | 显示全部楼层
player131 发表于 2017-3-21 09:16
开关HWNAT都是一样的结果的话,那估计就是固件编译的关系了。
题外话,看你的数据,看来HG255D这种老机 ...

1147隔离192.168.1.1:80要用forward,而170103的隔离.192.168.3.1却用input就可以,为什么?

点评

1147和170103是什么数据?你把你的拓扑发一份出来吧,描述的不清楚。  详情 回复 发表于 2017-3-21 09:41
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 09:41 | 显示全部楼层
nowandthen 发表于 2017-3-21 09:24
1147隔离192.168.1.1:80要用forward,而170103的隔离.192.168.3.1却用input就可以,为什么?

1147和170103是什么数据?你把你的拓扑发一份出来吧,描述的不清楚。

点评

r1147(hd255d)和170103(路由宝)都是潘多拉固件啊,我的截图上都有的。 我只想问iptable 用 input drop 和 forward drop 有什么不同。 hg255d 隔断192.168.1.1 (光猫)时,必须用forward才有效,用input没有效  详情 回复 发表于 2017-3-21 10:28
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 10:28 | 显示全部楼层
本帖最后由 nowandthen 于 2017-3-21 11:17 编辑
player131 发表于 2017-3-21 09:41
1147和170103是什么数据?你把你的拓扑发一份出来吧,描述的不清楚。

r1147(hd255d)和170103(路由宝)都是潘多拉固件啊,我的截图上都有的。
我只想问iptable 用 input drop 和 forward drop 有什么不同。
hg255d 隔断192.168.1.1 (光猫)时,必须用forward才有效,用input没有效。
但路由宝隔断192.168.3.1(lan)时,用input是可以的,但相对于192.168.6.100来说,不也要nat吗?

——————————————————————————

我想明白了,用input还是forward是针对数据是否来自路由器本机,而不在于ip段是否相同。
QOS之所以会被hwnat影响,是因为用的是TC+iptables,流量算不准的;
网址过滤不受hwnat影响,是因为只用了iptables的filter,只要其中一次drop就生效。
是不是呢,大侠?


点评

因为光猫是在WAN口 数据流量是LAN ——》 WAN ,所以是FORWARD。  详情 回复 发表于 2017-3-21 11:19
我的恩山、我的无线 The best wifi forum is right here.
发表于 2017-3-21 11:19 | 显示全部楼层
本帖最后由 player131 于 2017-3-21 11:41 编辑
nowandthen 发表于 2017-3-21 10:28
r1147(hd255d)和170103(路由宝)都是潘多拉固件啊,我的截图上都有的。
我只想问iptable 用 input dr ...

因为光猫是在WAN口  数据流量是LAN ——》 WAN ,所以是FORWARD。
另外INPUT使用的情况是,你要设定规则的地址属于路由器某一个接口的地址,比如你的192.168.3.1,这种情况下使用INPUT。FORWARD是用来处理通过路由器的数据包的,也就是源地址和目的地址都不在路由器上,这种情况下使用FORWARD,一般内网的电脑访问外网的过程就是FORWARD。你光猫的地址看起来像是私有地址,但实际上192.168.1.1这个地址不属于路由器本身,所以INPUT处理不了。

我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|手机APP版|恩山无线论坛 ( 苏ICP备05084872号-1  

GMT+8, 2017-7-23 14:44

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表