公司是双线,一条是固定IP(假设IP为192.168.2.1),另外一条线路是个人ADSL(IP联通随机分配的)。
要求:1.公司员工上网的时候只能通过个人ADSL线路上网,设置网关为192.168.1.1.
2.公司开发部门的员工登录公司服务器(10.1.1.1)的时,要使用固定IP进行登录。
3.不允许公司员工使用192.168.2.0/24这个网段,并且设置192.168.2.1 不能正常上网。
4.公司的服务器都在192.168.2.0/24 这个网段中,允许它们正常提供服务。
实施过程:
1.首先在/etc/iproute2/rt_tables 中加入两条信息
200 server
190 pc
这个数值介于255-0直接 随便起就是啦,没有什么讲究的 只是个代号而已,只要不重复就OK!
2. ip route replace default via 192.168.2.1 table server
ip route replace default via 192.168.1.1 table pc
对上面的server表和pc 表 指定网关
使用ip ro ls table N N代表 数值,这里可以为200或者是190
3.使公司员工可以上网
iptables -t mangle -A PREROUTING -i eth0 -s 192.168.1.0/24 -j MARK --set-mark 1
ip rule add fwmark 1 table pc #凡是打上1这个标记的包,都采用table pc的路由
4.iptables -t mangle -A PREROUTING -i eth0 -m mac --mac-source 00:0C:29:19:CF:56 -d 10.1.1.1 -j MARK --set-mark 2
ip rule add fwmark 2 table server
开发部门的一台机器,登录公司服务器。
5.ip route flush cache
6.做NAT:
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.2.1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 192.168.1.1
转载于:https://blog.51cto.com/scanty/343543