单网卡双IP,架设私服,详细写了全部做法,还请大家帮忙看看可行吗
环境:两块网卡,lan内网卡 wan外网卡(wan两个IP,10.0.0.216,10.0.0.217)不是想省一块网卡,而是这两个外网IP都在一条光纤上!网关也是相同的!不知道有什么好办法!共享上网方式:ip- firewall- nat- chain=srcnat action=masquerade
想法: 在两块网卡的基础上为wan网卡多添加一个IP 10.0.0.216,10.0.0.216只供内网192.168.0.241映射使用!10.0.0.216为192.168.0.241做映射和回流,只开放7000端口,其余所有端口屏蔽,禁PING,禁扫描.在基础上另外一个10.0.0.217供正常内网使用,不做以上限制!
目的:尽量不影响10.0.0.217的正常使用!但外网有人攻击10.0.0.216时,从路由上除7000端口外的操作与流量等攻击都drop. 可能大家也看出我要做什么服务器了!
不知以上的想法可否现实,
决心做以下尝试,有劳各位朋友指正,一起出谋划策.
================================================================
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
首先用此命令为wan网卡多添加了个10.0.0.216/24 ,网关与另一个正常使用的10.0.0.217/24相同!这样可以吧?
=============================================================
映射
ip-->firewall-->natProtocol=tcp Dst.Port=7000 In.Interface=wan
Action=dst-nat To.Address=192.168.0.241/32 To.Port=7000
有个疑问,这里把wan都映射了,可是我的wan有两个IP,搞不懂了!
回流
ip-->firewall-->nat
Chain=dstnatDst.Address=10.0.0.216/24 Protocol=tcp Dst.Port=7000
Action=dst-natTo.Address=192.168.0.241/32 To.Port=7000
================================================================
这步我想把上网方式masquerade改为SNAT,并用上这两个外网IP
IP - firewall - nat
chain=srcnat src.address=192.168.0.0/24 action=src-nat to-addresses=10.0.0.217 to-ports=0-65535
chain=srcnat src.address=192.168.0.241/32 action=src-nat to-addresses=10.0.0.216 to-ports=7000
不知这样可行吗?
=================================================================
这步想把10.0.0.216进来的端口除7000外全封了,不知道这条src.address=10.0.0.216/24 有用否...?会不会把10.0.0.217也限了?
ip->firewall->filter rules input链
src.address=10.0.0.216/24 protocl=tcpsrc.port=0-6999dst.port=0-6999 action=drop
再来条
ip->firewall->filter rules input链
src.address=10.0.0.216/24protocl=tcpsrc.port=7001-65535dst.port=7001-65535 action=drop
=======================================================
最后做一些安全设置
::wan Disable Ping
add chain=input in-interface=wan protocol=icmp icmp-options=8:0 action=drop \
comment="wan Disable Ping" disabled=no
::Chao Guo 500/pack dis
add chain=input protocol=icmp icmp-options=8:0 packet-size=!0-600 action=drop \
comment="Chao Guo 500/pack dis" disabled=no
==============================================================
只想到这么多,新手思路很乱。也不知道行不行,大家帮忙看看!在此先行谢过! 我凭着经验写的,没有实际测试,仅提供一个思路,我不缺定是否完全正确
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
从这里开始,加上ip之后
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
这就用上了snat方式提供内网上网,比masq方式效率高点,指定src-address可以防止影射后,所有外网IP在服务器都显示192.168.0.1但你这是另一个单独ip影射,也许这里nat不加src-address也可以,我不确定。
映射:
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.0/24 to-port=7000
建议用2.9.27,不存在回流问题,做好映射,内网任意一台机器就可以访问7000端口
我的疑问是,这样映射,会不会导致玩家从216来的数据,发送到192.168.0.241的7000端口,但是服务器回复玩家的数据是通过10.0.0.217返回去的,因为只有10.0.0.217在为内网提供nat服务。
最后,我建议你最好不要这样做,一方面麻烦,另一方面,真的有攻击的话,路由器CPU一下就100%,一样会导致网吧吊线,不如把光纤收发器、路由器外网内网、游戏服务器,直接接到主交换,外网网卡用10.0.0.217,在刷新出网通那边的网关10.0.0.1的arp以后,绑定成静态,然后把外网卡的arp从enable改成reply-only,这样外网卡就不会收到内网的无用数据包,游戏服务器ip设置为10.0.0.216这样即使受到攻击,充其量游戏服务器卡点,甚至停机,但绝对不会影响网吧营业,当然有一点副作用就是,游戏服务器的防火墙必须安装,否则光溜溜的暴露给外网,就等着被人玩吧,这样的技术性要求强一些,没有ros做映射,仅映射一个有用的端口那么傻瓜化,服务器配置比较高,对于一般化的ddos攻击,比起路由器,更抗攻击一点,我以前就是这么做的CS服务器。
[ 本帖最后由 normen 于 2008-7-18 23:34 编辑 ] ::添加第二IP
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
::snat方式
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
/ip firewall nat add chain=srcnat src-address=192.168.2.241/32 action=srcnat to-address=10.0.0.216 to-port=7000
::映射
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.241/32to-port=7000
红色字段,这样可行吗?我明天测试一下:lol
[ 本帖最后由 isjisj 于 2008-7-23 22:09 编辑 ] 测了下不行!内网网关不同,192.168.2.241不通!可能内网卡还要再装一块才能实现我的想法! 物理机双网卡用WINDOWS 然后用VMWARE做虚拟机解决楼主的问题可能比较容易.
页:
[1]