|
发表于 2008-7-18 23:32:28
|
显示全部楼层
我凭着经验写的,没有实际测试,仅提供一个思路,我不缺定是否完全正确
add address=10.0.0.216/24 interface=wan
add address=10.0.0.217/24 interface=wan
从这里开始,加上ip之后
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=srcnat to-address=10.0.0.217 to-port=0-65535
这就用上了snat方式提供内网上网,比masq方式效率高点,指定src-address可以防止影射后,所有外网IP在服务器都显示192.168.0.1但你这是另一个单独ip影射,也许这里nat不加src-address也可以,我不确定。
映射:
/ip firewall nat chain=dstnat add dst-address=10.0.0.216 protcol=tcp dst-port=7000 action=dstnat to-address=192.168.0.0/24 to-port=7000
建议用2.9.27,不存在回流问题,做好映射,内网任意一台机器就可以访问7000端口
我的疑问是,这样映射,会不会导致玩家从216来的数据,发送到192.168.0.241的7000端口,但是服务器回复玩家的数据是通过10.0.0.217返回去的,因为只有10.0.0.217在为内网提供nat服务。
最后,我建议你最好不要这样做,一方面麻烦,另一方面,真的有攻击的话,路由器CPU一下就100%,一样会导致网吧吊线,不如把光纤收发器、路由器外网内网、游戏服务器,直接接到主交换,外网网卡用10.0.0.217,在刷新出网通那边的网关10.0.0.1的arp以后,绑定成静态,然后把外网卡的arp从enable改成reply-only,这样外网卡就不会收到内网的无用数据包,游戏服务器ip设置为10.0.0.216这样即使受到攻击,充其量游戏服务器卡点,甚至停机,但绝对不会影响网吧营业,当然有一点副作用就是,游戏服务器的防火墙必须安装,否则光溜溜的暴露给外网,就等着被人玩吧,这样的技术性要求强一些,没有ros做映射,仅映射一个有用的端口那么傻瓜化,服务器配置比较高,对于一般化的ddos攻击,比起路由器,更抗攻击一点,我以前就是这么做的CS服务器。
[ 本帖最后由 normen 于 2008-7-18 23:34 编辑 ] |
|