|
本帖最后由 yangnd 于 2022-4-20 16:50 编辑
openwrt
lan口IP:192.168.1.3/24
建了n2n edge, IP: 10.8.8.1/24
远端也有一个n2n edge,IP:10.8.8.100/24,相互之间可以访问
openwrt防火墙自定义规则
- iptables -t nat -I PREROUTING -d 10.8.8.1 -p tcp --dport 8096 -j DNAT --to-destination 192.168.1.100:8096
- iptables -t nat -I POSTROUTING -o br-lan -s 0.0.0.0/0 -d 192.168.1.100 -p tcp --dport 8096 -j SNAT --to-source 192.168.1.3
- iptables -I FORWARD -d 10.8.8.0/24 -p tcp --dport 8096 -j ACCEPT
- iptables -I FORWARD -d 192.168.1.0/24 -p tcp --dport 8096 -j ACCEPT
复制代码
后面两个FORWARD是为了观测用的
IP:192.168.1.100上建立端口8096的服务
防火墙重启后,DNAT和FORWARD上8096都没有packet
远端访问10.8.8.1:8096,DNAT有数据包,FORWARD上没有包
openwrt防火墙自定义规则,DNAT目的地址改为10.8.8.101
- iptables -t nat -I PREROUTING -d 10.8.8.1 -p tcp --dport 8096 -j DNAT --to-destination 10.8.8.101:8096
- iptables -t nat -I POSTROUTING -o br-lan -s 0.0.0.0/0 -d 192.168.1.100 -p tcp --dport 8096 -j SNAT --to-source 192.168.1.3
- iptables -I FORWARD -d 10.8.8.0/24 -p tcp --dport 8096 -j ACCEPT
- iptables -I FORWARD -d 192.168.1.0/24 -p tcp --dport 8096 -j ACCEPT
复制代码
远端访问10.8.8.1:8096,DNAT有数据包,FORWARD上也有包
试下来DNAT地址除了10.8.8.0/24,数据包会到达FORWARD,其他都不行
更奇怪的是开启tcpdump抓包时,DNAT到192.168.1.100,FORWARD也有包了
远端通过10.8.8.1:8096 也能访问到192.168.1.100上的服务
想了两天也没想明白怎么回事,tcpdump启动时是不是也会开启其他东西
求助各位大佬讲解一下
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|