私のネットワークを「簡単に」調整するのは本当に難しいです。だから:
- 2 つのサイト A と B が IPsec を介して接続されており、それらの間の通信に問題はありません。
- 各サイトには、デフォルト VLAN とゲスト VLAN の 2 つの VLAN があります。デフォルトのVLANは
192.168.55.0/24
AとBに使用され、192.168.88.0/24
ゲストは192.168.10.0/24
両方に使用されます。 - VLANは、次の規則に従って各ルータから分離されます(Aの例)。
iptables -A forward -s 192.168.10.0/24 -d 192.168.55.0/24 -j DROP
今質問は、A / guestの特定のホストがB / mainの特定のホストに到達できるようにしたいと思います。どうすればいいですか?
入力しようとしましたが動作しませ
iptables -A forward -s 192.168.10.10 -d 192.168.55.55 -j ACCEPT
ん。一部のパケットを表示できますが、接続は機能しません(SSL 443を使用するWebサーバーです)。マングル/ポストルーティングチェーンに何かを追加する必要があると思いますか?
ありがとう
答え1
問題は、両方のゲストネットワークが同じアドレス範囲を共有することです。ルールが1つしかない場合、forward
A / guestのパケットはB / mainの宛先に到達しますが、戻りパケットは物理的にB / guestに送信されます。
A
MASQUERADE
したがって、B / mainのホストが送信192.168.55.0/24
元を確認して戻りパケットを返す方法を知るために、この接続にルータが必要です。これらのパケットがAのルータに到達すると、元のゲストホストに宛先を自動的に書き換え、それに応じてパケットを転送する。
これはトリックを実行する必要があります(サイトのルーターに適用されますA
)。
iptables -t nat -A POSTROUTING -s 192.168.10.10 -d 192.168.55.55 -j MASQUERADE