实验名称:Linux下实现基于源地址的策略路由操作系统:RedHat 7.2所使用的内核:2.4.18必须的模块: iproute2,iptables作者:lna@networksbase.com功能描述:首先你必须明白策略路由和路由策略是两个不同的概念,策略路由是根据IP包中的源地址,端口号等来实现的;而路由策略可以理解为路由表中的一系列路由动作。普通的路由是根据IP包中的目的地址来判断的,如:如果数据包是到http://linux.networksbase.com的,那么发送到网关192.168.1.1,如果到其他地方发送到192.168.2.1。但很多时候我们需要对数据包的源地址也要作出判断,如:网络中有几条出口线路,那么优先权高的人走速率快的链路,其他人走速率慢的链路,这个时候就需要策略路由。描述:实验中有两个局域网:LAN 1和LAN 2,我们要实现如下功能:1,LAN 1中的192.168.2.25和192.168.2.128从路由器A上网;2,LAN 1中的其他用户从路由器B上网;3,LAN 2中的所有用户从路由器A上网实现:首先你要打开Linux服务器的路由功能,命令如下:echo 1> /proc/sys/net/ipv4/ip_forward
然后设置LAN 1和LAN 2的IP伪装:iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADEiptables -t nat -A POSTROUTING -s 172.16.3.0/24 -j MASQUERADE
1,设置192.168.2.25和192.168.2.128的路由:ip rule add from 192.168.2.25 lookup 5ip rule add from 192.168.2.128 lookup 5这两句话的意思是将来自192.168.2.25和192.168.2.128的数据查找路由表5ip route add default via 192.168.0.1 table 5定义路由表5的路由策略。
2,设置LAN 1中其他用户的路由:ip rule add from 192.168.2.0/24 lookup 6这句话的意思是让来自192.168.2.0的数据查找路由表6ip route add default via 192.168.1.1 table 6定义路由表6的路由策略。
3,设置LAN 2的路由:ip rule add from 172.16.3.0/24 lookup 6这句话的意思是让来自LAN 2的数据查找路由表6ip route add default via 192.168.1.1 table 6(这条命令上面已经用过了!)4,刷新路由:ip route flush cache5,脚本如下:--------------------------------------------------------------------------------#!/bin/sh echo 1> /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE iptables -t nat -A POSTROUTING -s 172.16.3.0/24 -j MASQUERADE ip rule add from 192.168.2.25 lookup 5 ip rule add from 192.168.2.128 lookup 5 ip route add default via 192.168.0.1 table 5 ip rule add from 192.168.2.0/24 lookup 6 ip rule add from 172.16.3.0/24 lookup 6 ip route add default via 192.168.1.1 table 6 ip route flush cache
--------------------------------------------------------------------------------6,更明显一些,我们可以将上面脚本中的iptables命令行替换为下面的行iptables -t nat -A POSTROUTING -s 192.168.2.25/24 -j SNAT --to 192.168.0.51iptables -t nat -A POSTROUTING -s 192.168.2.128/24 -j SNAT --to 192.168.0.51iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.1.51iptables -t nat -A POSTROUTING -s 172.16.3.0/24 -j SNAT --to 192.168.0.51那么新脚本如下:--------------------------------------------------------------------------------#!/bin/sh echo 1> /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s 192.168.2.25/24 -j SNAT --to 192.168.0.51 iptables -t nat -A POSTROUTING -s 192.168.2.128/24 -j SNAT --to 192.168.0.51 iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to 192.168.1.51 iptables -t nat -A POSTROUTING -s 172.16.3.0/24 -j SNAT --to 192.168.0.51 ip rule add from 192.168.2.25 lookup 5 ip rule add from 192.168.2.128 lookup 5 ip route add default via 192.168.0.1 table 5 ip rule add from 192.168.2.0/24 lookup 6 ip rule add from 172.16.3.0/24 lookup 6 ip route add default via 192.168.1.1 table 6 ip route flush cache