OpenWRT旁路由原理——1.openwrt防火墙iptables介绍旁路由实现的两种方法
由于网上众多的旁路由使用方法杂乱,本方法主要适用于Openwrt的旁路由使用方法,同时也是解决部分人的疑问
首先要明确一下Openwrt本身是Linux的特化版所以按照使用linux的方法来解析openwr的防火墙是没有太大问题的,先解析一下OpenWRT的防火墙
openwrt的防火墙iptables介绍
因为openwrt的防火墙就是iptables,所以要明确一下防火墙的各项参数
根据上图,可以看看常规设置里面的三项,入转数据和出站数据和转发,这三个是针对全局进行的,优先级在图上面区域的下面,当匹配不到下面区域里面的规则时,在根据这个全局进行设置进行数据包的处理。
1、入站数据:由其它机器和路由器相连的,外部进入路由器的数据包
2、出站数据:由路由器本地发出的,比如路由器自身要dns请求时就是出站数据
3、转发:由本地路由表进行对同一源目数据进行转发不做处理
解释完上面的就在看看下面的区域和选项
4、Wan-->ACCEPT 这个指的是由wan口到设备自身的也就是从wan区域到路由器的数据包做怎么样的处理,处理方式就是上面解释的。
5、至于后面的IP动态伪装就是将要从本地始发出去的数据包(路由器-wan区域)进行源地址修改就是NAT也叫源地址转换。
6、至于lan-wan这个就是lan区域的数据包到wan区域时该进行什么什么操作,默认是都允许
所以这样就有了两种旁路由方法
1、进行源地址伪装
1、将客户端的地址全部伪装成旁路的IP,做了源地址和mac地址转换。
2、这样的方式是所有的数据报文都会经过旁路由,对旁路由的进出口有要求而且也会对后面你要做的端口转发有影响,
3、数据报文的转发路径如下 客户端IP:192.168.1.10 旁路由IP:192.168.1.2 主路由IP:192.168.1.1
源IP:192.168.1.10 源IP:192.168.1.2 源IP: 192.168.1.2->公网IP 目的:114.114.114.114 目IP:114.114.114.114 目的IP:114.114.114.114 客户端—————————————>旁路由——————————>主路由
4、回来的路径就是相反的所以可以看到对于主路由来说它是不知道192.168.1.10的即使是在同一个局域网,你做端口映射时就要考虑到要先在旁路由上面做一道,然后再在主路由上面做一道端口映射也是一级一级的。
5、旁路由这里设置实际还有些坑,就是防火墙规则里面的,所以不建议使用这样的旁路由方式
6、例如 服务器192.168.1.20 80端口对外服务那就要经过两道设置了
7、旁路要的做 192.168.1.20:80————>192.168.1.2:8080
8、主路由的做 192.168.1.2:8080————>公网IP:8888
2、直接转发
1、根据防火墙里面的规则不对数据做NAT处理也就是不做地址和mac地址转换直接进行转发
2、数据报文的转发路径如下 客户端:192.168.1.10 旁路由IP:192.168.1.2 主路由IP:192.168.1.1
源IP:192.168.1.10 源IP:192.168.1.10 源IP:192.168.1.10 目的:114.114.114.114 目的IP:114.114.114.114 目的IP:114.114.114.114 客户端——————————————>旁路由—————————————>主路由
3、回来的路径
源IP:114.114.114.114 目的IP:192.168.1.10 主路由—————————————>客户端
4、可以看到上面的数据包在回到客户端的时候是没有经过旁路由的,这样就不用经过旁路处理了下载的带宽不会有任何的损失。
5、只有上传需要经过旁路由处理。同时在主路由来看是知道192.168.1.10是在局域网中的,可以直接通过arp表进行寻找这样流控和端口转发就不用在旁路由上面设置了
下一篇详细设置旁路由方法《OpenWRT旁路由原理——2.超详细的LEDE/OpenWrt作为旁路由辅助网关》
原文:https://www.right.com.cn/forum/thread-8204298-1-2.html
点击链接加入群聊三群:751529538
点击链接加入群聊二群:376877156
点击链接加入群聊【路由器交流群:622891808已满】
本站附件分享,如果附件失效,可以去找找看
饿了么红包