V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
heqirong
V2EX  ›  宽带症候群

如何限制/允许某个 ip 访问 zerotier 的另一个节点

  •  
  •   heqirong · 2021-11-22 17:37:47 +08:00 · 2451 次点击
    这是一个创建于 1103 天前的主题,其中的信息可能已经有所发展或是发生改变。

    自己家里、父母家和公司都跑着 openwrt 的 zerotier ,在 zerotier 管理配置了路由表,相互可以访问内网设备;

    怎么才能限制 /允许某个节点下的某个 ip 访问另一个节点

    9 条回复    2021-11-25 14:18:27 +08:00
    Tink
        1
    Tink  
       2021-11-22 17:55:18 +08:00 via Android
    zerotier 下面不是能写路由表么,手动加一条就行了
    chenall
        2
    chenall  
       2021-11-22 20:57:53 +08:00 via Android
    rule 规则可以实现
    heqirong
        3
    heqirong  
    OP
       2021-11-22 23:25:37 +08:00
    @Tink @chenall ok ,回头试试
    heqirong
        4
    heqirong  
    OP
       2021-11-25 11:46:14 +08:00
    rule 规则好像只能限某个节点访问另一个节点,但是 openwrt 节点下的设备不能单独限制,如果在 openwrt 的防火墙下去限制某个设备通过 zerotier 的虚拟网卡,就会这个设备完全无法通过 zerotier ,不能达到限制这个设备访问特定结点的目的
    smallthing
        5
    smallthing  
       2021-11-25 13:10:40 +08:00
    难道不是在特定节点上做路由来限制这个虚拟 IP 吗
    2i2Re2PLMaDnghL
        6
    2i2Re2PLMaDnghL  
       2021-11-25 13:50:35 +08:00
    @heqirong 站点互访不要用 NAT 去做,ipsrc 和 ipdest 把两个站点的 prefix 给成对添加 drop
    heqirong
        7
    heqirong  
    OP
       2021-11-25 14:12:10 +08:00
    @smallthing 那会限制这个 ip 访问全部节点,不能限制访问特定节点吧?
    heqirong
        8
    heqirong  
    OP
       2021-11-25 14:13:12 +08:00
    @2i2Re2PLMaDnghL 所以每个站点都要运行 zerotier ,不能透过 openwrt 上 zerotier NAT 过去?
    2i2Re2PLMaDnghL
        9
    2i2Re2PLMaDnghL  
       2021-11-25 14:18:27 +08:00
    @heqirong 请区分站点( Site )和单点( Point )
    可以在 zerotier 上不用 NAT ,三个站点的网段不同,通过路由表互通,你要能从 A 站点内的一张网卡得知流量来源于 B 站点里的哪一张网卡,之后用 rule 或者路由器里写路由表都随意了。
    或者 1:1 NAT 也行,不过我没搞过。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2897 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 03:39 · PVG 11:39 · LAX 19:39 · JFK 22:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.