V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
phpfpm
V2EX  ›  宽带症候群

继续说 N1 做旁路由端口转发的俩坑

  •  
  •   phpfpm · 2021-03-08 10:16:49 +08:00 · 4960 次点击
    这是一个创建于 1360 天前的主题,其中的信息可能已经有所发展或是发生改变。

    书接前文。 https://www.v2ex.com/t/758394

    1 如果转发链设置成 主路由:12345 => N1:12345 => server:123 N1 设置的来源区域是 lan,而不是默认的 Wan 来源 ip 未指定

    由于 server 的网关是 N1,当局域网内想访问 some_public_ip:12345 的时候,交给网关 N1,此时会交给 server:123 去处理。

    解决方案:换一个端口。 主路由:12345 => N1:12346 => server:123

    但是感觉也不完美——访问外部端口仍然可能被打到内网

    应该研究一下指定来源 ip

    2 N1 的 openwrt 增加端口转发的防火墙设置的时候

    n1 小概率防火墙啥都不接受了,只能重启

    但是我还不在家 emmm

    11 条回复    2021-07-29 21:54:56 +08:00
    blueboyggh
        1
    blueboyggh  
       2021-03-08 10:48:58 +08:00
    旁路由这玩意还是只适合只需要科学上网的设备单独设置,主路由不要分配旁路由的网关,不然端口转发很头疼
    phpfpm
        2
    phpfpm  
    OP
       2021-03-08 11:04:01 +08:00
    @blueboyggh 所以我一直在想能不能在旁路由加一条防火墙规则改一下回包的 src

    SRC-主路由-A-旁路由-主路由-????

    主路由 NAT 的时候,无法把这俩包匹配上,因此无法回包给 SRC
    updateing
        3
    updateing  
       2021-03-08 13:01:25 +08:00 via Android   ❤️ 1
    可以考虑主路由换个带策略路由功能的型号,然后主路由负责区分流量该发给 N1 还是直接出外网,内网设备网关也是主路由,XDR5400 只做 AP. 这样就没有端口转发问题了。

    另外,原帖问题的解法会造成一个新的大坑:内网客户端不知道真实的访问方 IP,安全策略、访问频率限制啥的可能都不好做。
    phpfpm
        4
    phpfpm  
    OP
       2021-03-08 14:49:47 +08:00
    @updateing 其实也还好,我还有一个专门的公网出口,走 frp+nginx 反代,会把外部的 ip 什么的带上

    不过也确实是你说的问题。。我再想想
    matolv
        5
    matolv  
       2021-03-08 18:06:25 +08:00
    phpfpm
        6
    phpfpm  
    OP
       2021-03-08 22:49:16 +08:00
    @matolv 谢谢,我研究下。
    phpfpm
        7
    phpfpm  
    OP
       2021-03-08 22:49:59 +08:00
    @updateing
    在 n1 这边加上源 ip or 源 mac 限制就可以了,问题解决~
    whywhywhy
        8
    whywhywhy  
       2021-03-09 09:04:25 +08:00
    吐槽一下,作为一个 HCNP,居然看不懂你在说什么

    12345,12346,123

    有种“大家来找茬”的感觉。。。
    phpfpm
        9
    phpfpm  
    OP
       2021-03-09 09:17:13 +08:00
    @whywhywhy 吐槽的非常合理!!!!
    llqb
        10
    llqb  
       2021-03-17 22:15:52 +08:00
    楼主是否已经解决? 目前采用的是转发链的做法 主路由(拨号+关 DHCP) -> N1(DHCP) -> server
    之前也遇到了能连上端口但是收不到回包的情况, 但总觉得这个链有点没必要又不知道怎么做
    photon006
        11
    photon006  
       2021-07-29 21:54:56 +08:00
    我是这样处理的,旁路由不动,主路由把防火墙规则“入站”、“转发”都改成接受就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 22:00 · PVG 06:00 · LAX 14:00 · JFK 17:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.