继续说 N1 做旁路由端口转发的俩坑

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1351 天前的主题，其中的信息可能已经有所发展或是发生改变。

书接前文。 https://www.v2ex.com/t/758394

1 如果转发链设置成主路由:12345 => N1:12345 => server:123 N1 设置的来源区域是 lan，而不是默认的 Wan 来源 ip 未指定

由于 server 的网关是 N1，当局域网内想访问 some_public_ip:12345 的时候，交给网关 N1，此时会交给 server:123 去处理。

解决方案：换一个端口。主路由:12345 => N1:12346 => server:123

但是感觉也不完美——访问外部端口仍然可能被打到内网

应该研究一下指定来源 ip

2 N1 的 openwrt 增加端口转发的防火墙设置的时候

n1 小概率防火墙啥都不接受了，只能重启

但是我还不在家 emmm

Server

端口

网关

防火墙

11 条回复 • 2021-07-29 21:54:56 +08:00

blueboyggh

2021-03-08 10:48:58 +08:00

旁路由这玩意还是只适合只需要科学上网的设备单独设置，主路由不要分配旁路由的网关，不然端口转发很头疼

phpfpm

2021-03-08 11:04:01 +08:00

@blueboyggh 所以我一直在想能不能在旁路由加一条防火墙规则改一下回包的 src

SRC-主路由-A-旁路由-主路由-????

主路由 NAT 的时候，无法把这俩包匹配上，因此无法回包给 SRC

updateing

2021-03-08 13:01:25 +08:00 via Android

可以考虑主路由换个带策略路由功能的型号，然后主路由负责区分流量该发给 N1 还是直接出外网，内网设备网关也是主路由，XDR5400 只做 AP. 这样就没有端口转发问题了。

另外，原帖问题的解法会造成一个新的大坑：内网客户端不知道真实的访问方 IP，安全策略、访问频率限制啥的可能都不好做。

phpfpm

2021-03-08 14:49:47 +08:00

@updateing 其实也还好，我还有一个专门的公网出口，走 frp+nginx 反代，会把外部的 ip 什么的带上

不过也确实是你说的问题。。我再想想

matolv

2021-03-08 18:06:25 +08:00

参考 https://guide.v2fly.org/app/tproxy.html

phpfpm

2021-03-08 22:49:16 +08:00

@matolv 谢谢，我研究下。

phpfpm

2021-03-08 22:49:59 +08:00

@updateing
在 n1 这边加上源 ip or 源 mac 限制就可以了，问题解决~

whywhywhy

2021-03-09 09:04:25 +08:00

吐槽一下，作为一个 HCNP，居然看不懂你在说什么

12345，12346，123

有种“大家来找茬”的感觉。。。

phpfpm

2021-03-09 09:17:13 +08:00

@whywhywhy 吐槽的非常合理！！！！

llqb

2021-03-17 22:15:52 +08:00

楼主是否已经解决? 目前采用的是转发链的做法主路由(拨号+关 DHCP) -> N1(DHCP) -> server
之前也遇到了能连上端口但是收不到回包的情况, 但总觉得这个链有点没必要又不知道怎么做

photon006

2021-07-29 21:54:56 +08:00

我是这样处理的，旁路由不动，主路由把防火墙规则“入站”、“转发”都改成接受就行了