两个网段要求互通一个能上网一个不让上如何设置

zyye · 发表于 2007-12-23 20:09:26

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

两个网段要求互通一个能上网一个不让上如何设置
路由器上有三块网卡
wan adsl拨号
lan1 192.168.1.0
lan2 192.168.2.0
lan1 lan2 互通但只准 lan1 上wan

请教各位大虾

hbycqdy · 发表于 2007-12-23 21:23:25

搬个板凳等：）

zhangying · 发表于 2007-12-24 08:15:48

在防火墙里做策略,把不让上网的网段流量drop掉

hcb · 发表于 2007-12-24 08:29:52

本来两个网段之间就可以互相访问的
只要用nat让一个lan的上网就可以了

zyye · 发表于 2007-12-24 14:10:10

楼上的 nat里怎么操作？

xzewht21 · 发表于 2007-12-24 15:51:03

我是这样做的,不使用NAT的masquerade，而使用下面这样的方式来上网：

chain=srcnat out-interface=wan src-address=192.168.1.0/24 action=src-nat
   to-addresses=外网IP to-ports=0-65535
好了这样可以了。如果还想让lan2也上网那就加一条
chain=srcnat out-interface=wan src-address=192.168.2.0/24 action=src-nat
   to-addresses=外网IP  to-ports=0-65535
如果你的机器不互通的话（本来应该是互通的），那就来个

chain=input src-address=192.168.1.0/24 dst-address=192.168.2.0/24
   action=accep
chain=input src-address=192.168.2.0/24 dst-address=192.168.1.0/24
   action=accep
这样就行啦。

hcb · 发表于 2007-12-24 16:31:19

原帖由 zyye 于 2007-12-24 14:10 发表

 登录/注册后可看大图

楼上的 nat里怎么操作？

/ip firewall nat
基本的:
add chain=srcnat action=masquerade disabled=no comment=内网全部能上网
复杂一点的
add chain=srcnat action=masquerade disabled=no src-address=192.168.1.0/24 comment=内网lan1全部能上网
再复杂一点的:
add chain=srcnat action=masquerade disabled=no src-address=192.168.1.8 comment=只有192.168.1.7能上网
更复杂一点的:
add chain=srcnat action=masquerade disabled=no src-address=192.168.1.8 dst-address=10.12.0.8 comment=192.168.1.7只能访问10.12.0.8
更细一点的:
add chain=srcnat action=masquerade disabled=no src-address=192.168.1.8 dst-address=10.12.0.8 dst-prot=80 comment=192.168.1.7只能浏览10.12.0.8的网页
举一反三，还有更细的控制，就不一一举例了

zyye · 发表于 2007-12-24 17:34:30

楼上的大大说的很详细，谢谢了

账号		自动登录	找回密码
密码			注册

[其它] 两个网段要求互通一个能上网一个不让上如何设置

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

同问

[其它] 两个网段要求互通 一个能上网一个不让上 如何设置

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

同问

[其它] 两个网段要求互通一个能上网一个不让上如何设置