iptablesを使用すると、ホストはVLANを分離できます。

iptablesを使用すると、ホストはVLANを分離できます。

私のネットワークを「簡単に」調整するのは本当に難しいです。だから:

  • 2 つのサイト A と B が IPsec を介して接続されており、それらの間の通信に問題はありません。
  • 各サイトには、デフォルト VLAN とゲスト VLAN の 2 つの VLAN があります。デフォルトのVLANは192.168.55.0/24AとBに使用され、192.168.88.0/24ゲストは192.168.10.0/24両方に使用されます。
  • VLANは、次の規則に従って各ルータから分離されます(Aの例)。

iptables -A forward -s 192.168.10.0/24 -d 192.168.55.0/24 -j DROP

今質問は、A / guestの特定のホストがB / mainの特定のホストに到達できるようにしたいと思います。どうすればいいですか?

入力しようとしましたが動作しませ iptables -A forward -s 192.168.10.10 -d 192.168.55.55 -j ACCEPTん。一部のパケットを表示できますが、接続は機能しません(SSL 443を使用するWebサーバーです)。マングル/ポストルーティングチェーンに何かを追加する必要があると思いますか?

ありがとう

答え1

問題は、両方のゲストネットワークが同じアドレス範囲を共有することです。ルールが1つしかない場合、forwardA / guestのパケットはB / mainの宛先に到達しますが、戻りパケットは物理的にB / guestに送信されます。

AMASQUERADEしたがって、B / mainのホストが送信192.168.55.0/24元を確認して戻りパケットを返す方法を知るために、この接続にルータが必要です。これらのパケットがAのルータに到達すると、元のゲストホストに宛先を自動的に書き換え、それに応じてパケットを転送する。

これはトリックを実行する必要があります(サイトのルーターに適用されますA)。

iptables -t nat -A POSTROUTING -s 192.168.10.10 -d 192.168.55.55 -j MASQUERADE

関連情報