실제로 이 질문은 openwrt에 관한 것입니다. 쿠바 AP, 하지만 다른 Linux 배포판에서도 마찬가지라고 생각합니다.
"wan"과 "wlan" 인터페이스라는 두 개의 인터페이스가 있습니다.
기본적으로 wlan 인터페이스에서 wan으로 전달되는 패킷을 제한하는 필터가 있습니까?
특히 라우터의 wlan 인터페이스가 192.168.1.1이고 이 인터페이스에 연결된 누군가가 컴퓨터의 IP로 172.16.1.1을 입력하는 경우. 그러면 그의 패킷이 전달될까요? 라우팅 결정은 대상 IP로만 결정됩니까, 아니면 소스 IP의 영향을 받습니까?
172.16.1.1 머신에 대한 답변이 반환되지 않는 것이 문제인 것 같습니다. iptables 전달 규칙으로 인터페이스가 스위치처럼 작동하도록 할 수 있습니까?
172.16.x를 전달하려면 이 물리적 인터페이스에 별칭을 설정할 수 있습니다. 다른 방법이 있나요?
기본쿠바방화벽 스크립트는 다음과 같이 말합니다.
iptables -A FORWARD -i $WIFI -o $WAN -j ACCEPT
위장을 비활성화했습니다.
이런 방식으로 네트워크를 "분리"하고 이에 의존하는 것이 가능합니까? 192.168.1.x가 아닌 주소를 사용하여 누군가가 자신의 패킷을 전달하도록 하는 방법이 있습니까?
이 문제는 WAN 인터페이스가 WLAN 사용자가 액세스할 수 없는 시스템 뒤에 있기 때문에 발생합니다. 이러한 시스템은 소스 IP 주소에 의존합니다.
답변1
예, 기본적으로 필터가 있습니다. 기본적으로 패킷이 전혀 전달되지 않습니다. 이곳은 분명히 폐쇄되었습니다.
활성화할 수 있는 두 번째 필터는 역방향 경로 필터입니다. 활성화된 경우 인터페이스로 들어오는 패킷은 라우팅 테이블과 비교하여 소스 주소를 확인하여 응답이 동일한 인터페이스에서 전송되는지 확인합니다. 그렇지 않은 경우 패킷이 삭제됩니다. 이것은 에 있습니다./proc/sys/net/ipv4/conf/{all,default,devname}/rp_filter
그 외에는 기본적으로 대상 IP만을 기준으로 라우팅이 이루어집니다.
세 번째 질문에 대해서는...머신이 172.16.1.1/24로 구성되어 있고 기본 게이트웨이를 192.168.1.1로 설정하려고 하면 오류가 발생할 수 있습니다. 기본 게이트웨이에 액세스할 수 없습니다. (이 경로로 연결되는 경로가 있습니까?) ). 이를 수락하고 사용하도록 허용하면(예를 들어 경로를 추가하여) 라우터로 패킷을 보냅니다. 역방향 경로 필터가 꺼져 있으면 라우터가 패킷을 수락하고 라우팅합니다. 어떤 답변도 아마도 쓸모가 없을 것입니다.
라우터로 돌아가지 못할 수도 있습니다. 다른 라우터는 192.168.1.0/24에 대한 패킷을 라우터로 보내는 것을 알고 있지만 172.16.1.0/24는 보낼 수 없습니다. 이를 달성하기 위해 경로를 설정했다고 가정하면 ...
라우터는 172.16.1.0/24에 대한 패킷을 어디로 보낼지 모릅니다. 실제로는 그렇게 생각하고 기본 게이트웨이로 보내는 것일 수도 있습니다. 라우터에서 경로를 설정하여 상자로 다시 보내는 경우...
그러면 작동할 수도 있습니다.
대안은 WLAN 인터페이스에 다른 IP 주소를 추가하는 것입니다. 라우터가 라우팅하는 각 서브넷에 적어도 하나의 IP 주소를 갖는 것은 일반적입니다. 이를 위해 별칭 인터페이스가 필요하지 않습니다. 다음을 사용하여 ip두 번째 IP를 추가 하면 됩니다 ip addr add 172.16.1.254/24 dev wlan. 일반적으로 단일 라우터 서브넷에서 사용 가능한 첫 번째 IP는 라우터이지만 이는 단지 편의를 위한 것일 뿐 기술적 요구 사항은 아닙니다.
iptables박스를 통과하는 모든 IP 트래픽에 적용됩니다. 여기에는 로컬에서 생성된 트래픽과 전달된 트래픽이 포함됩니다.
지원을 사용하여 실제로 wan과 wlan을 연결(스위치로 전환)할 수 있지만 brctl그렇게 하고 싶지 않은 것 같습니다. ebtables( 아님 ) 을 사용하여 iptables브리지를 필터링할 수 있습니다.