当padavan为二级路由怎么让一级路由访问！！！

museadt

故事背景：
为了防止我瞎特么折腾，把家里主网干崩，我直接给我自己的玩具套了一层路由
但是呢，我无线设备还在家里一级网上，所以我这些玩具就不通了

那我就有了一级向二级访问的需求

然后二级就只有个AC2100能用，
但官方固件卡，
OP的设备监控功能弱暴了，我还找不到合适的插件
然后就只剩个padavan能刷了，设备监控勉强能用，但是又设置不通访问。

昨天怒刷了2小时iptables视频，今天勉强打通了。。。

实现上级设备，访问2级的路由器本器，和这级网段的2个设备。
初学乍练的，高手多担待，有啥不足的地方，如果可以的话，麻烦指点一二。

IP地址都在图上，这里就不描述的很详细了

路由wan 31.2 lan51.1
旁路和nas分别是51.3和51.4


一共三组命令，换成自己的IP即可

一、充许访问本地路由192.168.51.1

iptables -I INPUT 1 -p tcp --dport 80 -d 192.168.51.1 -j ACCEPT

如果有需要把tcp换成udp再执行一遍，通常udp在tcp下方，所以INPUT后面的序号要改成2
只访问192.168.51的80端口，因为是路由器本器，好像不用转发了，直接这样一条就够了
这个其实也可以不写，因为管理页面上就有个允许外网访问，点开，应用，在iptables查表的时候就会看到多出这一条

下面这2项开转发好像就可以了。

二、允许访问旁路由192.168.51.3

iptables -t nat -A PREROUTING -i eth3 -d 192.168.31.2 -j DNAT --to-destination 192.168.51.3
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.51.3 -j SNAT --to-source 192.168.31.2
iptables -A FORWARD -d 192.168.51.3 -j ACCEPT
iptables -A FORWARD -s 192.168.51.3 -j ACCEPT
iptables -P FORWARD ACCEPT

三、允许访问NAS192.168.51.4

iptables -t nat -A PREROUTING -i eth3 -d 192.168.31.2 -j DNAT --to-destination 192.168.51.3
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.51.4 -j SNAT --to-source 192.168.31.2
iptables -A FORWARD -d 192.168.51.4 -j ACCEPT
iptables -A FORWARD -s 192.168.51.4 -j ACCEPT
iptables -P FORWARD ACCEPT

最后那句iptables -P FORWARD ACCEPT是确保 FORWARD 链的默认策略是 ACCEPT，以允许转发流量。可选，无脑就都复制上去，管他允许不允许，反正这下肯定是允许了

很多像我这样初学的，基本就卡在这些NAT转换上了，老实说现在我写完了我看特么看不懂，但是我们可以借助AI


你先问AI：
允许外部网络访问192.168.51.3这个IP，包括所有端口，他就会给你上面的命令，但是并不详尽，他会问你WAN口的网卡，和外网的IP



再给AI提供具体的参数eth3是wan接口，外IP是192.168.31.2


然后特么这eth3是哪来的？


在命令行执行ip addr ，然后返回的结果复制扔给AI，并说明51.3之类的网段是内网，31.2的地址是外网，让他分析哪个是wan，这样wan的网卡不就到手了吗？
所以我这个是eth3
当然具体操作的时候，问的顺序刚好是反过来的，甚至需要多开几个AI的网页，这样就能得到正确的命令。

关于清空 iptables 规则，可以删除所有规则，重新开始配置。
这个绝对要慎之又慎，恢复默认，很可能就全清了，ssh都连不上，没的玩了。。只能重置路由，然后静态IP设置来一套。
请自行与AI交流确认怎么用，反正我不想研究了。


这么一套折腾下来，反正是1级可以访问2级了，如果需要多加设备，就把正确的命令改一下，就是改2级的IP地址换个需要的就行。


最后是怎么保存住这套规则，因为你会发现一重启就没了，保存成文件，我大概鼓捣了一下没整明白，就用了个土法。




在这，文末，砸几个回车，然后，把命令全贴进去，应用。重启就不会丢了，不过好像挺慢的，重启后，淘宝都能打开了，但是访问二级并没有全通，大概得30秒以上，就正常了，
最后执行iptables -nL并没发现这些规则，也不知道是什么鬼！！！！只能看到访问路由那条。。。

开启IP转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
反正我多次重置后发现，至少在我这机器用不着。如果以上还不行，可以试试把这个执行一下



隐藏的就是把上面的命令多余的描述删了。可以不用回

游客，如果您要查看本帖隐藏内容请回复

另外就在我写这贴时我觉得好像哪有点不对，我好像只设置了转发？并没有允许wan接收流量？他默认是开着的了？还是怎么回事！！！！

哦，对了，一级也得有条静态，不会有人不知道的吧

agito014

看描述看的不是很清楚，就看到了两点，一个是NAT下发不成功，一个是路由出口是二级路由

agito014

由主路由把公网地址NAT转换后下发给各设备，保证二级路由也可以上公网。
下方设备网关出口写主路由
至于命令不是很了解

shb110119

我看下内容。。。

xs00000

谢谢分享，对小白很友好

daolezcm

谢谢分享，对小白很友好

aming.ou

如果不是为了安全，把防火墙停用，然后设置端口映射到二级路由下的服务端口，同时打开外网管理功能，就可以一级路由下直接维二级路由器，也能访问二级路由器下的服务。

cixiclq

我这里一级路由器192.168.0.1拨号，接ap，接大量终端，自己挂了个二级新三做瞎整腾的门户，后再接jdc等玩意儿，我就把新三WAN口设为固定ip如192.168.0.3,LAN192.168.123.1，下挂两JDC也是设定WAN口固定IP，如192.168.123.168和192.168.123.160，JDC做好80端口wan到路由器lan管理地址的的映射，一级路由器要访问二级，就在一级写一条静态路由，让访问192.168.123.0的流量下一跳为192.168.0.3，这样在一级下的任何设备输入192.168.123.1，就可以直接管理二级路由（二级也做好wan80端口映射到192.168.123.1），访问192.168.123.168就直接进入到JDC了，然后还可以弄成外网随时随地管理所有设备

ycmxr

谢谢分享

栖迟

看一看