가상 게이트웨이 iptables

Netfilter와 NAT는 여기에 관련되지 않으며 라우팅에 관한 것입니다.

정책 규칙이 순회됨에 따라가상 개인 넷리스트첫째, 기본 경로로 인해 이 경로 테이블은 항상 일치하여 경로 조회에 대한 답변을 제공합니다.기본게이트웨이 자체 172.16.1.1을 사용하는 경우 라우팅 테이블은 더 이상 사용되지 않습니다. 그래서 사용해서 말할 것이 없습니다랜 0더 이상은 아닙니다.

따라서 초기 경로 선택에서는랜 0:

$ ip route get to 172.16.1.2
172.16.1.2 dev lan0 src 172.16.1.1 uid 1000 
    cache 

이 경로를 선택하면 주소가 172.16.1.0/24의 172.16.1.1 부분으로 설정되므로 다음을 사용하는 것으로 전환됩니다.VPN0:

$ ip route get from 172.16.1.1 to 172.16.1.2
172.16.1.2 from 172.16.1.1 via 10.20.1.1 dev vpn0 table vpntable uid 1000 
    cache 

수정 사항은 유지할 예외를 추가하는 것입니다.랜 0이 경우.

이를 수행하는 방법에는 여러 가지가 있으며 모두 문제를 해결해야 합니다. 일반적으로 첫 번째 또는 마지막 방법(가장 쉬운)이 사용됩니다.

• VPN 경로 테이블에 LAN 경로 지정

  ip route add 172.16.1.0/24 dev lan0 table vpntable
  

• iif lo또는 LAN을 먼저 구문 분석하여 로컬 트래픽을 얻습니다(여기서 특별한 의미는로컬에서 시작된 트래픽, 실제로는 관련이 없습니다루오인터페이스) 및 통화 라우팅 규칙기본라우팅 테이블. 우선순위가 낮은 후에 추가되고 호출하기 전에 평가됩니다.가상 개인 넷리스트라우팅 테이블:

  ip rule add iif lo to 172.16.1.0/24 lookup main
  

• 또는 이전 글머리 기호의 변형: VPN 규칙을 건너뛰고 바로 통화로 이동기본라우팅 테이블:

  ip rule add iif lo to 172.16.1.0/24 goto 32766
  

• 또는 초기 라우팅 규칙의 주소 대신 인터페이스를 지정합니다(제거해야 함).

  ip rule delete from 172.16.1.0/24 lookup vpntable
  ip rule add iif lan0 lookup vpntable
  

  이렇게 하면 로컬 주소가 출처가 아니기 때문에 로컬 주소가 실행되지 않습니다.랜 0.

첫 번째 방법과 달리 마지막 방법은 172.16.1.1 원본(여전히 MASQUERADE 규칙을 통해 NAT를 수행함)에 바인딩할 때 기본적으로 게이트웨이에서 VPN 사용을 허용하지 않습니다.