找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 4190|回复: 4

[其它] 单网卡双IP,架设私服,详细写了全部做法,还请大家帮忙看看可行吗

[复制链接]
发表于 2008-7-18 19:11:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
环境:两块网卡,lan内网卡      wan外网卡(wan两个IP,10.0.0.216,10.0.0.217)不是想省一块网卡,而是这两个外网IP都在一条光纤上!网关也是相同的!不知道有什么好办法!

共享上网方式:  ip- firewall- nat- chain=srcnat action=masquerade

想法: 在两块网卡的基础上为wan网卡多添加一个IP 10.0.0.21610.0.0.216只供内网192.168.0.241映射使用!10.0.0.216192.168.0.241做映射和回流,只开放7000端口,其余所有端口屏蔽,禁PING,禁扫描.在基础上另外一个10.0.0.217供正常内网使用,不做以上限制!

目的:尽量不影响10.0.0.217的正常使用!但外网有人攻击10.0.0.216时,从路由上除7000端口外的操作与流量等攻击都drop. 可能大家也看出我要做什么服务器了!

不知以上的想法可否现实,
决心做以下尝试,有劳各位朋友指正,一起出谋划策.
================================================================
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
首先用此命令为wan网卡多添加了个10.0.0.216/24 ,网关与另一个正常使用的10.0.0.217/24相同!这样可以吧?
=============================================================
映射
ip-->firewall-->nat  Protocol=tcp   Dst.Port=7000   In.Interface=wan
Action=dst-nat   To.Address=192.168.0.241/32   To.Port=7000

有个疑问,这里把wan都映射了,可是我的wan有两个IP,搞不懂了!

回流
ip-->firewall-->nat  
  Chain=dstnat  Dst.Address=10.0.0.216/24   Protocol=tcp   Dst.Port=7000   
  Action=dst-nat  To.Address=192.168.0.241/32 To.Port=7000
================================================================

这步我想把上网方式masquerade改为SNAT,并用上这两个外网IP
IP - firewall - nat
chain=srcnat   src.address=192.168.0.0/24 action=src-nat to-addresses=10.0.0.217 to-ports=0-65535
chain=srcnat   src.address=192.168.0.241/32 action=src-nat to-addresses=10.0.0.216 to-ports=7000
不知这样可行吗?
=================================================================

这步想把10.0.0.216进来的端口除7000外全封了,不知道这条src.address=10.0.0.216/24 有用否...?会不会把10.0.0.217也限了?
ip->firewall->filter rules      input链
src.address=10.0.0.216/24 protocl=tcp  src.port=0-6999  dst.port=0-6999   action=drop
再来条
ip->firewall->filter rules      input链
src.address=10.0.0.216/24  protocl=tcp  src.port=7001-65535  dst.port=7001-65535   action=drop
=======================================================

最后做一些安全设置
::wan Disable Ping
add chain=input in-interface=wan protocol=icmp icmp-options=8:0 action=drop \
    comment="wan Disable Ping" disabled=no
::Chao Guo 500/pack dis
add chain=input protocol=icmp icmp-options=8:0 packet-size=!0-600 action=drop \
    comment="Chao Guo 500/pack dis" disabled=no
==============================================================

只想到这么多,新手思路很乱。也不知道行不行,大家帮忙看看!在此先行谢过!
routeros
发表于 2008-7-18 23:32:28 | 显示全部楼层
我凭着经验写的,没有实际测试,仅提供一个思路,我不缺定是否完全正确
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
从这里开始,加上ip之后
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
这就用上了snat方式提供内网上网,比masq方式效率高点,指定src-address可以防止影射后,所有外网IP在服务器都显示192.168.0.1但你这是另一个单独ip影射,也许这里nat不加src-address也可以,我不确定。
映射:
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.0/24 to-port=7000
建议用2.9.27,不存在回流问题,做好映射,内网任意一台机器就可以访问7000端口

我的疑问是,这样映射,会不会导致玩家从216来的数据,发送到192.168.0.241的7000端口,但是服务器回复玩家的数据是通过10.0.0.217返回去的,因为只有10.0.0.217在为内网提供nat服务。
最后,我建议你最好不要这样做,一方面麻烦,另一方面,真的有攻击的话,路由器CPU一下就100%,一样会导致网吧吊线,不如把光纤收发器、路由器外网内网、游戏服务器,直接接到主交换,外网网卡用10.0.0.217,在刷新出网通那边的网关10.0.0.1的arp以后,绑定成静态,然后把外网卡的arp从enable改成reply-only,这样外网卡就不会收到内网的无用数据包,游戏服务器ip设置为10.0.0.216这样即使受到攻击,充其量游戏服务器卡点,甚至停机,但绝对不会影响网吧营业,当然有一点副作用就是,游戏服务器的防火墙必须安装,否则光溜溜的暴露给外网,就等着被人玩吧,这样的技术性要求强一些,没有ros做映射,仅映射一个有用的端口那么傻瓜化,服务器配置比较高,对于一般化的ddos攻击,比起路由器,更抗攻击一点,我以前就是这么做的CS服务器。

[ 本帖最后由 normen 于 2008-7-18 23:34 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2008-7-23 21:46:07 | 显示全部楼层
::添加第二IP
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan

::snat方式
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
/ip firewall nat add chain=srcnat src-address=192.168.2.241/32 action=srcnat to-address=10.0.0.216 to-port=7000

::映射
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.241/32  to-port=7000

红色字段,这样可行吗?我明天测试一下

[ 本帖最后由 isjisj 于 2008-7-23 22:09 编辑 ]
routeros
回复

使用道具 举报

 楼主| 发表于 2008-7-24 17:12:39 | 显示全部楼层
测了下不行!内网网关不同,192.168.2.241不通!可能内网卡还要再装一块才能实现我的想法!
routeros
回复

使用道具 举报

发表于 2008-7-25 00:07:41 | 显示全部楼层
物理机双网卡用WINDOWS 然后用VMWARE做虚拟机解决楼主的问题可能比较容易.
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-25 04:35 , Processed in 0.131122 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表