单网卡双IP，架设私服，详细写了全部做法，还请大家帮忙看看可行吗

isjisj

环境：两块网卡，lan内网卡      wan外网卡（wan两个IP，10.0.0.216，10.0.0.217）不是想省一块网卡，而是这两个外网IP都在一条光纤上！网关也是相同的！不知道有什么好办法!

共享上网方式:  ip- firewall- nat- chain=srcnat action=masquerade

想法: 在两块网卡的基础上为wan网卡多添加一个IP 10.0.0.216，10.0.0.216只供内网192.168.0.241映射使用！10.0.0.216为192.168.0.241做映射和回流，只开放7000端口，其余所有端口屏蔽，禁PING，禁扫描.在基础上另外一个10.0.0.217供正常内网使用,不做以上限制！

目的：尽量不影响10.0.0.217的正常使用！但外网有人攻击10.0.0.216时，从路由上除7000端口外的操作与流量等攻击都drop. 可能大家也看出我要做什么服务器了！

不知以上的想法可否现实，
决心做以下尝试，有劳各位朋友指正，一起出谋划策.
================================================================
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
首先用此命令为wan网卡多添加了个10.0.0.216/24 ，网关与另一个正常使用的10.0.0.217/24相同！这样可以吧？
=============================================================
映射
ip-->firewall-->nat  Protocol=tcp   Dst.Port=7000   In.Interface=wan
Action=dst-nat   To.Address=192.168.0.241/32   To.Port=7000

有个疑问，这里把wan都映射了，可是我的wan有两个IP，搞不懂了！

回流
ip-->firewall-->nat  
  Chain=dstnat  Dst.Address=10.0.0.216/24   Protocol=tcp   Dst.Port=7000   
  Action=dst-nat  To.Address=192.168.0.241/32 To.Port=7000
================================================================

这步我想把上网方式masquerade改为SNAT,并用上这两个外网IP
IP - firewall - nat
chain=srcnat   src.address=192.168.0.0/24 action=src-nat to-addresses=10.0.0.217 to-ports=0-65535
chain=srcnat   src.address=192.168.0.241/32 action=src-nat to-addresses=10.0.0.216 to-ports=7000
不知这样可行吗？
=================================================================

这步想把10.0.0.216进来的端口除7000外全封了，不知道这条src.address=10.0.0.216/24 有用否...?会不会把10.0.0.217也限了?
ip->firewall->filter rules      input链
src.address=10.0.0.216/24 protocl=tcp  src.port=0-6999  dst.port=0-6999   action=drop
再来条
ip->firewall->filter rules      input链
src.address=10.0.0.216/24  protocl=tcp  src.port=7001-65535  dst.port=7001-65535   action=drop
=======================================================

最后做一些安全设置
::wan Disable Ping
add chain=input in-interface=wan protocol=icmp icmp-options=8:0 action=drop \
    comment="wan Disable Ping" disabled=no
::Chao Guo 500/pack dis
add chain=input protocol=icmp icmp-options=8:0 packet-size=!0-600 action=drop \
    comment="Chao Guo 500/pack dis" disabled=no
==============================================================

只想到这么多，新手思路很乱。也不知道行不行，大家帮忙看看！在此先行谢过！

normen

我凭着经验写的，没有实际测试，仅提供一个思路，我不缺定是否完全正确
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
从这里开始，加上ip之后
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
这就用上了snat方式提供内网上网，比masq方式效率高点，指定src-address可以防止影射后，所有外网IP在服务器都显示192.168.0.1但你这是另一个单独ip影射，也许这里nat不加src-address也可以，我不确定。
映射：
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.0/24 to-port=7000
建议用2.9.27，不存在回流问题，做好映射，内网任意一台机器就可以访问7000端口

我的疑问是，这样映射，会不会导致玩家从216来的数据，发送到192.168.0.241的7000端口，但是服务器回复玩家的数据是通过10.0.0.217返回去的，因为只有10.0.0.217在为内网提供nat服务。
最后，我建议你最好不要这样做，一方面麻烦，另一方面，真的有攻击的话，路由器CPU一下就100%,一样会导致网吧吊线，不如把光纤收发器、路由器外网内网、游戏服务器，直接接到主交换，外网网卡用10.0.0.217,在刷新出网通那边的网关10.0.0.1的arp以后，绑定成静态，然后把外网卡的arp从enable改成reply-only,这样外网卡就不会收到内网的无用数据包，游戏服务器ip设置为10.0.0.216这样即使受到攻击，充其量游戏服务器卡点，甚至停机，但绝对不会影响网吧营业，当然有一点副作用就是，游戏服务器的防火墙必须安装，否则光溜溜的暴露给外网，就等着被人玩吧，这样的技术性要求强一些，没有ros做映射，仅映射一个有用的端口那么傻瓜化，服务器配置比较高，对于一般化的ddos攻击，比起路由器，更抗攻击一点，我以前就是这么做的CS服务器。

[ 本帖最后由 normen 于 2008-7-18 23:34 编辑 ]

isjisj

::添加第二IP
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan

::snat方式
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
/ip firewall nat add chain=srcnat src-address=192.168.2.241/32 action=srcnat to-address=10.0.0.216 to-port=7000

::映射
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.241/32  to-port=7000

红色字段，这样可行吗？我明天测试一下

[ 本帖最后由 isjisj 于 2008-7-23 22:09 编辑 ]

isjisj

测了下不行！内网网关不同,192.168.2.241不通！可能内网卡还要再装一块才能实现我的想法！

onlymygemini

物理机双网卡用WINDOWS 然后用VMWARE做虚拟机解决楼主的问题可能比较容易.