未分類
2 3 月 2021

继续说 N1 做旁路由端口转发的俩坑

继续说 N1 做旁路由端口转发的俩坑

資深大佬 : phpfpm 1

书接前文。 https://www.v2ex.com/t/758394

1 如果转发链设置成 主路由:12345 => N1:12345 => server:123 N1 设置的来源区域是 lan,而不是默认的 Wan 来源 ip 未指定

由于 server 的网关是 N1,当局域网内想访问 some_public_ip:12345 的时候,交给网关 N1,此时会交给 server:123 去处理。

解决方案:换一个端口。 主路由:12345 => N1:12346 => server:123

但是感觉也不完美——访问外部端口仍然可能被打到内网

应该研究一下指定来源 ip

2 N1 的 openwrt 增加端口转发的防火墙设置的时候

n1 小概率防火墙啥都不接受了,只能重启

但是我还不在家 emmm

大佬有話說 (9)

  • 資深大佬 : blueboyggh

    旁路由这玩意还是只适合只需要科学上网的设备单独设置,主路由不要分配旁路由的网关,不然端口转发很头疼

  • 資深大佬 : phpfpm

    @blueboyggh 所以我一直在想能不能在旁路由加一条防火墙规则改一下回包的 src

    SRC-主路由-A-旁路由-主路由-????

    主路由 NAT 的时候,无法把这俩包匹配上,因此无法回包给 SRC

  • 資深大佬 : updateing

    可以考虑主路由换个带策略路由功能的型号,然后主路由负责区分流量该发给 N1 还是直接出外网,内网设备网关也是主路由,XDR5400 只做 AP. 这样就没有端口转发问题了。

    另外,原帖问题的解法会造成一个新的大坑:内网客户端不知道真实的访问方 IP,安全策略、访问频率限制啥的可能都不好做。

  • 資深大佬 : phpfpm

    @updateing 其实也还好,我还有一个专门的公网出口,走 frp+nginx 反代,会把外部的 ip 什么的带上

    不过也确实是你说的问题。。我再想想

  • 資深大佬 : matolv

    参考 https://guide.v2fly.org/app/tproxy.html

  • 資深大佬 : phpfpm

    @matolv 谢谢,我研究下。

  • 資深大佬 : phpfpm

    @updateing
    在 n1 这边加上源 ip or 源 mac 限制就可以了,问题解决~

  • 資深大佬 : whywhywhy

    吐槽一下,作为一个 HCNP,居然看不懂你在说什么

    12345,12346,123

    有种“大家来找茬”的感觉。。。

  • 資深大佬 : phpfpm

    @whywhywhy 吐槽的非常合理!!!!