内网两个网段互访的问题

zyling · 发表于 2005-4-8 21:30:39

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

ros 装三个网卡, 一个外网, 两个内网.内网段分别为: LAN1: 192.168.0.x LAN2: 192.168.1.x两个网段均上网（LAN2的用户是通过PPPOE拨入ROS进行上网）现在，不想让 LAN2 的用户访问 LAN1 的资源，所以在 Firewall -forward 里设置了 src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=drop这样子就禁止了 LAN2 和 LAN1 之间的互访。现在，又想让 LAN1 的 192.168.0.1 这台机器可以访问到 lan2 的资源，即防火墙设置成单向的，允许 LAN1 访问 LAN2，禁止 LAN2 访问 LAN1请问可不可能实现？如何设置？

newsoft · 发表于 2005-4-9 04:46:14

在有更好的方法前，建议你加张网卡建vlan

JJkafei · 发表于 2005-4-9 09:01:18

QUOTE (newsoft @ Apr 9 2005, 04:46 AM)
在有更好的方法前，建议你加张网卡建vlan
用这个！src-address=!192.168.0.1/24 dst-address=192.168.1.0/24 action=drop

newsoft · 发表于 2005-4-9 18:59:05

呵呵~~原理应该可以呀，楼主按这样试了，在告诉我们有没有成功，我懒的去动机器了

mywangba · 发表于 2005-4-9 19:03:34

我这里又遇到个问题 ip转向我要转的不是一个地址是2个或者2个以上但不会太多一般就5个该怎么做比如我让内网的机器无论访问哪里都转到www.163.com或www.163.net 要么打开的是163.com 要么是　163.net

jerrylau18 · 发表于 2005-4-9 19:05:57

我想应该使用NAT来实现,直接用DROP掉不可以,因为要有返回的数据包呀,也DROP掉了呀.比如,我们想禁止外网PING,我们可以使DROP,但在服务器上也不能PING外网了,如果使用NAT,NAT内可以ping通外网了。

zyling · 发表于 2005-4-10 00:31:55

QUOTE (jerrylau18 @ Apr 9 2005, 07:05 PM)
我想应该使用NAT来实现,直接用DROP掉不可以,因为要有返回的数据包呀,也DROP掉了呀.比如,我们想禁止外网PING,我们可以使DROP,但在服务器上也不能PING外网了,如果使用NAT,NAT内可以ping通外网了。
我也是想直接DROP掉应该不行. 网络通信都是双向的，有去的数据包也有返回的数据包啊。所以我想我这个单向访问的想法可能实现不了吧。NAT要怎么实现这个应用？

ycfei · 发表于 2005-4-10 10:23:31

楼主分两个网段.那两个网段的网关分别又是什么呢?想知道一下啊..

zyling · 发表于 2005-4-10 11:14:05

两个网段的网关分别为两张内网卡的IP地址

newsoft · 发表于 2005-4-10 11:50:58

请先按JJkafei的方法试谢谢~~如果别人给了你可行的方法你又不试，那算什么？第二个问题，例子/ ip firewall dst-nat add action=nat to-dst-address=192.168.1.49 comment="" disabled=yes192.168.1.49是你要转向的，但是163不支持ip访问，只能用域名访问，所以你的第二问题的答案是不能转到163.com/ ip firewall dst-nat add action=nat to-dst-address=192.168.1.49-192.168.1.50 comment="" \ disabled=yes192.168.1.49-192.168.1.50 是你要转向的，具体转向那里还没测，

mywangba · 发表于 2005-4-10 13:08:46

QUOTE (newsoft @ Apr 10 2005, 11:50 AM)
请先按JJkafei的方法试谢谢~~如果别人给了你可行的方法你又不试，那算什么？第二个问题，例子/ ip firewall dst-nat add action=nat to-dst-address=192.168.1.49 comment="" disabled=yes192.168.1.49是你要转向的，但是163不支持ip访问，只能用域名访问，所以你的第二问题的答案是不能转到163.com/ ip firewall dst-nat add action=nat to-dst-address=192.168.1.49-192.168.1.50 comment="" \ disabled=yes192.168.1.49-192.168.1.50 是你要转向的，具体转向那里还没测，
首先感谢关注我这里是要转到两个学习网站能直接ip访问的看来似乎只支持转向到一个ip上了？不能转到任意两个ip上？

ycfei · 发表于 2005-4-10 15:01:31

再请教个问题.如果这两段中只需要其中两台机子互问.那怎么办

newsoft · 发表于 2005-4-10 18:31:45

我接触routeros不久~~有个笨方法你要不要，用script定时转换不过我觉的不好，人家访问一个网站好好，过一会儿还想看这个网站却切换到另一个去了还有个办法，如果那些人是菜鸟的话，给你的routeos启用dns-cache,添加俩个域名对应的ip，把那些客户端的dns设成网关ip，记的在pppoe拨号中去掉use peer dns

ycfei · 发表于 2005-4-10 20:51:36

我的问题为什么没有人回答..不同网段之间两台机子的互方.

newsoft · 发表于 2005-4-10 21:04:31

QUOTE (JJkafei @ Apr 9 2005, 09:01 AM)

QUOTE (newsoft @ Apr 9 2005, 04:46 AM)
在有更好的方法前，建议你加张网卡建vlan
用这个！src-address=!192.168.0.1/24 dst-address=192.168.1.0/24 action=drop
看看这个再自己尝试，做人不能太懒了老大

账号		自动登录	找回密码
密码			注册

[其它] 内网两个网段互访的问题

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。