Маршрутизатор Debian: разрешить входящий трафик из интрасети

Question

у меня есть школьная сеть 10.0.0.0/8

У меня Debian работает со статическим назначенным шлюзом IP 10.122.72.2 10.122.72.1 на eth0 и локальной сетью 10.122.2.0/24 на eth1

Проблема в том, что я могу получить доступ к другим сетям, например. 10.122.1.0/24 но я не могу получить доступ к своей локальной сети извне, например. ping 10.122.2.1 из сети 10.122.1.0/24

tracert 10.122.1.1 из моей локальной сети дает мне способ маршрутизации пакета 10.122.2.1 -> 10.122.72.1 -> 10.122.1.1

И tracert 10.122.2.1 из сети 10.122.1.0/24 10.122.1.0/24 мне 10.122.1.1 -> 10.122.254.9 -> request timed out

sudo route -n дай мне это:

Kernel IP routing table
Destination Gateway     Genmask       Flags Metric Ref Use Iface
0.0.0.0     10.122.72.1 0.0.0.0       UG    0      0   0   eth0
10.122.2.0  0.0.0.0     255.255.255.0 U     0      0   0   eth1
10.122.72.0 0.0.0.0     255.255.255.0 U     0      0   0   eth0

а вот мой /etc/network/interfaces

# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 10.122.72.2
netmask 255.255.255.0
network 10.122.72.0
broadcast 10.122.72.255
gateway 10.122.72.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 202.46.129.2
auto eth1
iface eth1 inet static
address 10.122.2.1
netmask 255.255.255.0
network 10.122.2.0
broadcast 10.122.2.255

Вот мои правила брандмауэра

outif="eth0"
lanif="eth1"
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -o $lanif -j MASQUERADE
iptables -t nat -A POSTROUTING -o $outif -j MASQUERADE

Как я могу сделать свою локальную сеть доступной снаружи?

заранее спасибо

Answer 1

Проблема здесь не в вашем роутере (по крайней мере пока).

tracert вы запустили, показывает, что 10.122.254.9 , похоже, не знает, куда направить пакет дальше. Вам необходимо настроить другие маршрутизаторы в школьной сети для маршрутизации 10.122.2.0/24 на ваш маршрутизатор.

Как только это будет сделано, вы даже сможете удалить NAT с вашего роутера.

С учетом двух результатов tracert вы дали, кажется, что ваша сеть выглядит примерно так:

IP-маршрутизация работает переход за переходом. Когда вы пытаетесь отправить пакет на 10.122.2.1 , есть две возможности:

1. Вы находитесь в той же подсети, что и 10.122.2.1: вы просто узнаете адрес ее уровня 2 и отправите пакет.
2. Вы находитесь в другой подсети. Вы просматриваете свою таблицу маршрутизации, чтобы найти маршрутизатор в вашей подсети, который приблизит вас к 10.122.2.1 , найти его адрес уровня 2 и отправить ему пакет. Затем он следует тем же шагам, что и вы.

В вашем случае, когда вы находитесь в сети 10.122.1.0/24 , если приведенное выше представление верно, вы можете отправить сообщение на управляемые школой маршрутизаторы 1 и 2 (2 - шлюз по умолчанию, когда вы не знаете, кому отправить)

Поскольку вы не находитесь в сети 10.122.2.0/24 и не знаете, кому ее отправлять, вы отправляете ее на шлюз по умолчанию, 10.122.1.1 или маршрутизатор, управляемый школой 2. Он не находится в той же подсети, что и 10.122.2.1 , и не имеет специальной записи для него, поэтому отправляет его на шлюз по умолчанию, 10.122.254.9 , который, в свою очередь, вероятно, пытается отправить его в Интернет, на котором указывает, что это отброшено, поскольку это 10.122.2.1 находится в частном диапазоне IP.

Если вы находитесь в сети 10.122.72.0/24 вы можете добавить запись, сообщающую вашему компьютеру, что 10.122.2.0/24 доступен через 10.122.72.2 , но, поскольку вы находитесь в еще одной подсети, вы должны сообщить маршрутизаторам, контролируемым школой. что 10.122.2.0/24 доступно через 10.122.72.2 . В этом случае это будет означать обновление маршрутизатора 1, управляемого школой, с прямым входом для вашей сети, который будет доступен через ваш компьютер Debian, и маршрутизатором 2, контролируемым школой, с вводом для вашей сети как доступного через маршрутизатор 1, управляемый школой.

Без управления школьными маршрутизаторами это не то, что вы можете сделать. Лучшее, что вы можете сделать, это настроить VPN-сервер на вашем компьютере Debian, а затем туннелировать трафик до 10.122.2.0/24 используя VPN-соединение.