linux桥接改路由,Linux路由具有两个NIC(LAN与Internet),具有NAT和桥接VM

最新推荐文章于 2022-08-16 00:00:32 发布
最新推荐文章于 2022-08-16 00:00:32 发布
阅读量309 收藏
点赞数
文章标签: linux桥接改路由

我的设置:

此设置中只有一台物理机,一台带有两个网络适配器的虚拟机主机系统(VM).

一个NIC(eth0)连接到内部网络(LAN子网,例如10.x.x.x / 24),并应用于内部流量.

另一个NIC(eth1)连接到公共Internet(它配置了公共可路由IP).此连接应用于将公共Internet流量端口转发到VM的内部IP(传入流量),并允许VM通过NAT访问公共Internet(传​​出流量).

虚拟机使用LAN-Subnet中的IP地址(10.x.x.x / 24,与eth0相同)

我有一个为虚拟机的虚拟网络接口(vnet0,vnet1,…)和LAN-NIC(eth0)配置的网桥设备(br0).这意味着:

> br0在LAN子网中有一个IP地址(10.x.x.x / 24)

> eth0被添加到桥上

> vnet0,…(由VM使用)动态添加到网桥

问题

局域网内的通信工作正常.此外,VM-Host可通过公共IP访问,并具有Internet访问权限.

我的问题是NAT配置也允许VM访问公共互联网.

我试图使用简单的(S)NAT规则:

@H_502_24@iptables -t nat -I POSTROUTING -s 10.x.x.x/24 ! -d 10.x.x.x/24 -j SNAT --to-source y.y.y.102

而y.y.y.102是第二个NIC(eth1)的公共可路由IP.

我发现我需要启用“ip_forward”和“bridge-nf-call-iptables”:

@H_502_24@echo 1 > /proc/sys/net/ipv4/ip_forward

echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables

否则,桥接包将不会被iptables处理.

现在来自VM的数据包似乎经历了以下iptables链:

>“前进”(常规) – 我在那里接受(-j ACCEPT,计数器上升)

>“PREROUTING”(nat) – 我在那里接受它们(政策接受,计数器上升)

>“POSTROUTING”(nat) – 它们符合SNAT规则

但是并不是所有的数据包似乎都因为我到目前为止无法弄清楚的任何原因而到达PRE / POSTROUTING.

然而,更有趣的是tcpdump -i eth0与tcpdump -i eth1显示数据包(我试图从VM内部ping外部IP)似乎是通过错误的接口eth0(= LAN-NIC)发送的.甚至应用了NAT规则,因此源地址已更改为另一个NIC(eth1)的IP.

问题:

如何配置系统输出NATed数据包,使用公共IP作为源地址,通过正确的NIC(eth1)发送?

我是否需要将eth1添加到网桥(br0)?如果是,如何正确分配公共IP地址?通常需要在网桥设备上配置IP.我是否需要为桥接器分配别名地址(br0:0上的公共IP)?

配置细节

主机系统上的路由配置:

@H_502_24@# ip r

default via y.y.y.126 dev eth1

10.x.x.0/24 dev br0 proto kernel scope link src 10.x.x.11

y.y.y.96/27 dev eth1 proto kernel scope link src y.y.y.102

> IP:y.y.y.126是我们的公共互联网路由器.

> IP:y.y.y.102是主机的公共IP

> IP:10.x.x.11是主机的LAN IP

> SUBNET:10.x.x.0 / 24是局域网

> SUBNET:y.y.y.96 / 27是公共IP子网

网卡配置:

@H_502_24@# ifconfig

br0: flags=4163 mtu 1500

inet 10.x.x.11 netmask 255.255.255.0 broadcast 10.x.x.255

inet6 ####::###:####:####:#### prefixlen 64 scopeid 0x20

ether ##:##:##:##:##:## txqueuelen 0 (Ethernet)

RX packets 2139490 bytes 243693436 (232.4 MiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 29085 bytes 2398024 (2.2 MiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

eth0: flags=4163 mtu 1500

inet6 ####::###:####:####:#### prefixlen 64 scopeid 0x20

ether ##:##:##:##:##:## txqueuelen 1000 (Ethernet)

RX packets 2521995 bytes 290600491 (277.1 MiB)

RX errors 0 dropped 0 overruns 0 frame 0

TX packets 383089 bytes 48876399 (46.6 MiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

device memory 0xdfa60000-dfa7ffff

eth1: flags=4163 mtu 1500

inet y.y.y.102 netmask 255.255.255.224 broadcast y.y.y.127

inet6 ####::###:####:####:#### prefixlen 64 scopeid 0x20

ether ##:##:##:##:##:## txqueuelen 1000 (Ethernet)

RX packets 2681476 bytes 597532550 (569.8 MiB)

RX errors 0 dropped 130 overruns 0 frame 0

TX packets 187755 bytes 21894113 (20.8 MiB)

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

device memory 0xdfa00000-dfa1ffff

桥配置:

@H_502_24@# brctl show

bridge name bridge id STP enabled interfaces

br0 8000.002590eb1900 no eth0

vnet0

和iptables规则:

@H_502_24@# iptables -vnL

Chain INPUT (policy ACCEPT 0 packets,0 bytes)

pkts bytes target prot opt in out source destination

723 106K DROP udp -- * * y.y.y.0/24 0.0.0.0/0 udp spt:5404

586 40052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

5 420 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

2 458 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4

2 458 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets,0 bytes)

pkts bytes target prot opt in out source destination

1343 173K ACCEPT tcp -- * * 10.x.x.2 0.0.0.0/0 tcp spt:3389

1648 127K ACCEPT tcp -- * * 0.0.0.0/0 10.x.x.2 tcp dpt:3389

18 1040 LOG all -- * * 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4

18 1040 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 525 packets,84016 bytes)

pkts bytes target prot opt in out source destination

# iptables -vnL -t nat

Chain PREROUTING (policy ACCEPT 13 packets,1218 bytes)

pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 5 packets,420 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 13 packets,880 bytes)

pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 14 packets,920 bytes)

pkts bytes target prot opt in out source destination

5 300 SNAT all -- * * 10.x.x.0/24 !10.x.x.0/24 to:y.y.y.102

这里是LAN接口卡上捕获的NATed数据包(来自VM的ping):

@H_502_24@# tcpdump -i eth0

12:53:55.243350 IP y.y.y.102 > y.y.y.110: ICMP echo request,id 2,seq 5,length 40

输出“ip规则”:

@H_502_24@# ip rule

0: from all lookup local

32766: from all lookup main

32767: from all lookup default

契卡给油送温暖五
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux桥配置路由器,linux中的网络配置,网桥及路由器的配置
weixin_39640520的博客
05-12 337
什么是IP ADDRESSinternet protocol ADDRESS ##网络进程地址ipv4 internet protocol version 4ip是由32位0和1组成2. 子网掩码用来划分网络区域子网掩码非0的位对应的ip上的数字表示这个ip的网络位子网掩码0位对应的是ip的主机位网络位表示网络区域主机位表示网络区域内的某台主机3. ip通信判定网络位一致,主机位不一致的ip可以相...
如何设置linux端口桥接,怎么在linux下配置桥接
weixin_42176612的博客
05-02 227
物理机上的操作:[root@server100 network-scripts]# cat ifcfg-br0DEVICE="br0"BOOTPROTO="none"IPADDR=192.168.1.100PREFIX=24GATEWAY=192.168.1.1DNS1=218.30.19.50DNS2=61.134.1.5ONBOOT="yes"TYPE=Bridge[root@server10...
Linux入门-网络配置-桥接模式与NAT的区别
u013044298的博客
10-08 1150
首先,在说到VMware的网络模型之前,先说一下VMware的几个虚拟设备:VMnet0:这是VMware用于虚拟桥接网络下的虚拟交换机; VMnet1:这是VMware用于虚拟Host-Only网络下的虚拟交换机; VMnet8:这是VMware用于虚拟NAT网络下的虚拟交换机; VMware Network Adapter VMnet1:这是Host用于与Host-Only虚拟网络进行通信的虚...
linux配置eth端口,linux – 为每个nic接口配置DNS服务器(eth0 / eth1)?
weixin_28347369的博客
05-05 901
如何在RHEL / Centos 6上为每个NIC(eth0 vs eth1)接口配置DNS名称服务器?例如.eth0 is on subnet 10.0.0.1/24eth1 is on subnet 192.168.0.1/24Any requests sent over eth0 should use DNS server 10.0.0.2.Any requests sent over et...
在计算机中NIC是什么意思?
jfkidear的专栏
11-01 1万+
在计算机中NIC是什么意思? (2009-10-28 11:45) 分类: 网络技术 网卡简称NIC,也叫网络适配器.网卡是局域网中最基本的部件之一,它是连接计算机与网络的硬件设备.网卡NIC插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。 网卡的英文全称为Network Interface Card,简称NIC,也叫网络
Realtek 8811CU Wireless LAN 802.11ac USB NIC安装到kali-linux方法
03-16
在本文中,我们将详细讨论如何在Kali Linux操作系统中安装Realtek 8811CU Wireless LAN 802.11ac USB NIC无线网卡。这个过程涉及到更新系统、安装必要的依赖、下载并编译驱动,以及最终的驱动安装和验证。下面是一...
change_NIC_ord.zip_fedora_linux网卡排序_nic网卡排序
最新发布
09-14
Linux系统中,尤其是服务器环境,常常会遇到配置多个网络接口(NIC,Network Interface Controller)的情况。这在处理网络负载均衡、故障切换或者特定服务需求时尤为重要。标题"change_NIC_ord.zip_fedora_linux...
linux网卡驱动的关键就是处理两个问题
08-19
Linux操作系统中,网卡驱动程序是连接硬件与操作系统内核的重要桥梁,它负责管理和控制网络接口卡(NIC)的功能,使系统能够进行网络通信。本文主要关注的是Linux网卡驱动在数据发送与接收方面的核心任务。 首先...
在虚拟机VMware下Linux的安装与简单设置
01-19
虚拟机的行为完全类似于一台物理计算机,它包含自己的虚拟(即基于软件实现的)CPU、RAM 硬盘和网络接口卡 (NIC)。  操作系统无法分辨虚拟机与物理机之间的差异,应用程序和网络中的其他计算机也无法分辨。即使是...
i211网卡芯片linux平台invm烧写及配置文件
01-14
invm描述文件分别为2012年2013年两个版本 i211 pci id为 8086:1539 OEM_Mfg为intel提供的最新的eeupdate烧写工具 I211.TXT为i211的invm配置文件 使用eeupdate32之前需要编译安装OEM_Mfg/iqvlinux.tar.gz里面的...
Linux-eth0 eth0:1 和eth0.1关系、ifconfig以及虚拟IP实现介绍
weixin_33836223的博客
10-12 4285
eth0 eth0:1 和eth0.1三者的关系对应于物理网卡、子网卡、虚拟VLAN网卡的关系:物理网卡:物理网卡这里指的是服务器上实际的网络接口设备,这里我服务器上双网卡,在系统中看到的2个物理网卡分别对应是eth0和eth1这两个网络接口。 子网卡:子网卡在这里并不是实际上的网络接口设备,但是可以作为网络接口在系统中出现,如eth0:1、eth1:2这种网络接口。它们必须要依赖于物理网卡,虽...
什么是NIC(网络接口卡)?
cunjiu9486的博客
10-12 1万+
NIC is the short form of the Network Interface Card. Network Interface Card or simply Network Card is simply used to connect different types of devices into the network generally to access the interne...
linux网络设置
weixin_64413763的博客
08-16 2561
Linux中配置IP地址的方法有以下这么几种:图形界面配置IP地址(操作方式如Windows系统配置IP,但在实际生产中,我们并不建议在我们的服务器上安装Linux的图形界面,因为安装了图形界面将一定程度地影响了服务器的安全性和稳定性,因此,在这里就不对该方式进行详细的介绍了。)ifconfig命令临时配置IP地址(临时配置IP地址,即当我们重启计算机或重启网络服务后,配置将失效)...
linux发送数据包需要两次路由,linux – 在tracepath期间导致火星数据包(目前为止)的路由策略有多么破碎?...
weixin_32445717的博客
05-12 343
我相信我已经实现了一个表,用于将数据包从eth1 / 192.168.3.x路由到192.168.3.1,以及从eth0 / 192.168.1.x到192.168.1.1(helpful source)的数据包.问题:当从192.168.3.20(从vserver内部)执行tracepath时,我得到内核:[318535.927489]火星源192.168.3.20,来自212.47.223.3...
NAT基本原理及应用
weixin_33725126的博客
10-26 5582
1 概述 1.1 简介 1.1.1 名词解释 公有IP地址:也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址。 私有IP地址:也叫内部地址,属于非注册地址,专门为组织机构内部使用。因特网分配编号委员会(IANA)保留了3块IP地址做为私有IP地址: 10.0.0.0 ——— 1...
linux多网卡的路由模式和桥接模式设置方法
liuhuahan的专栏
09-01 1万+
内容是徐老师写的,我整理一下,记录在这里备忘。
虚拟机下Linux桥接模式联网步骤
Leon的博客
11-23 7084
摘要:本文介绍了在ubuntu16.04背景下,实现网络静态IP配置下,通过桥接模式,使得虚拟机能够实现连接互联网。 前提:周边有路由器,你知道它的网关,它可以给你PC端分配IP,也可以给你虚拟机端分配IP,如果你是校园网,只有一条网线,那么设置为NAT模式就可以了。
Linux 配置网络桥接
热门推荐
L-ciaty的博客
08-15 2万+
配置网络桥接 用于虚拟化 桥接接口 1.网络配置文件目录:/etc/sysconfig/network-scrpits/ 2.备份网络配置文件: 实验前先将原本的配置文件,进行备份。 ifcfg-enp5s0           网卡配置文件 ifcfg-br0                  桥接配置文件 cd /etc/sysconfig/network-scrpits/ mkdi...
两个网卡做映射linux,linux多网卡的路由模式和桥接模式设置方法
weixin_35682097的博客
05-01 741
内容是徐老师写的,我整理一下,记录在这里备忘。网络配置—桥接方式网络桥接配置框图如图 1所示,两块MPC8548E板通过同步口方式(以太网口亦适用)进行连接,将同步口驱成网络设备,工作方式与以太网口等同。假设同步口网络设备接口为eth4,以太网设备接口为eth0。 图1:桥接方式配置示意图桥接方式配置如下:(1)MPC8548E板1(图 1中左)#/usr/sbin/brctl addbr br0...
ARM架构下Linux的运行与编译详解
"ARM Linux specifics" 本文档深入探讨了Linux操作系统在ARM架构下的特定实现和编译技术。ARM(Advanced RISC Machines)是一种广泛应用于嵌入式系统、移动设备和个人计算机的精简指令集计算(RISC)处理器架构。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值