Tôi có một máy ảo chạy Debian 11 và nó cần kết nối với hai VLAN. Từ bên trong tòa nhà trên mạng cục bộ, tôi có thể truy cập tốt thông qua cả hai IP, nhưng khi tôi ở bên ngoài mạng bằng cách sử dụng VPN của bộ định tuyến hoặc NAT 1:1 trên bộ định tuyến, tôi chỉ có thể kết nối với mạng đầu tiên được liệt kê Trong /etc/mạng/giao diện (từ VPN tôi thậm chí không thể ping cái thứ hai).Không chắc liệu điều này có liên quan cụ thể đến bộ định tuyến hay đó là một loại "nguồn bên ngoài khác".
Tại sao thứ tự lại quan trọng? Và tôi có thể làm gì để cả hai hoạt động không? Nếu tôi hoán đổi chúng xung quanh và khởi động lại, bất cứ thứ gì đầu tiên trong tệp khi nó khởi động dường như hoạt động tốt và thứ thứ hai theo thứ tự chỉ hoạt động từ một máy tính cục bộ.
Rất nhiều cài đặt thông qua hướng dẫn mà tôi không hiểu, vì vậy tôi sẽ đưa vào đây những gì có vẻ phù hợp, nhưng có thể tôi đã làm sai điều gì đó
Tôi đã cài đặt phần mềm vlan (tôi nghĩ vậy?) với
# apt cài vlan
# modprobe 8021q && lsmod | grep 8021q
Và vô hiệu hóa Trình quản lý mạng của Gnome
Trong /etc/sysctl.conf tôi đã thêm
net.ipv4.ip_forward=1
net.ipv4.conf.all.arp_filter=0
net.ipv4.conf.all.rp_filter=2
Tôi cần chuyển tiếp cổng 80 và 443 lên trên 1024
# iptables -A PREROUTING -t nat -p tcp --dport 80 -j REDIRECT --to-ports [cổng mới]
# iptables -A PREROUTING -t nat -p tcp --dport 443 -j REDIRECT --to-ports [cổng mới]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 80 -j REDIRECT --to-ports [cổng mới]
# iptables -t nat -I OUTPUT -p tcp -o lo --dport 443 -j REDIRECT --to-ports [cổng mới]
# iptables-save | sudo tee /etc/iptables.rules
Và /etc/mạng/giao diện giống như
# Tệp này mô tả các giao diện mạng có sẵn trên hệ thống của bạn
# và cách kích hoạt chúng. Để biết thêm thông tin, xem giao diện (5).
nguồn /etc/network/interfaces.d/*
# Giao diện mạng loopback
tự động lo
vòng lặp iface lo inet
# Máy khách VPN có thể ping cái này
tự động ens18.200
iface ens18.200 inet dhcp
cài đặt trước iptables-restore < /etc/iptables.rules
# Nhưng không phải cái này
tự động ens18.40
iface ens18.40 inet dhcp
cài đặt trước iptables-restore < /etc/iptables.rules
Bộ định tuyến là Meraki MX250 nếu điều đó quan trọng
đầu ra được yêu cầu
gốc:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 trạng thái qdisc noqueue nhóm UNKNOWN mặc định qlen 1000
liên kết/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
máy chủ phạm vi inet 127.0.0.1/8 lo
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
inet6 ::1/128 máy chủ phạm vi
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast trạng thái UP nhóm mặc định qlen 1000
liên kết/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
tên thay thế enp0s18
inet6 fe80::---:----:----:----/liên kết phạm vi 64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
3: ens18.200@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc trạng thái noqueue Nhóm LÊN mặc định qlen 1000
liên kết/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
inet 10.26.1.100/22 brd 10.26.3.255 phạm vi động toàn cầu ens18.200
hợp lệ_lft 623197sec ưa thích_lft 623197sec
inet6 fe80::---:----:----:----/liên kết phạm vi 64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
4: ens18.40@ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue trạng thái nhóm LÊN mặc định qlen 1000
liên kết/ether 00:50:56:--:--:-- brd ff:ff:ff:ff:ff:ff
inet 192.168.1.114/24 brd 192.168.1.255 phạm vi toàn cầu động ens18.40
hợp lệ_lft 623198sec ưa thích_lft 623198sec
inet6 fe80::---:----:----:----/liên kết phạm vi 64
hợp lệ_lft mãi mãi ưa thích_lft mãi mãi
gốc:~# ip ru
0: từ tất cả tra cứu cục bộ
32766: từ tất cả tra cứu chính
32767: từ tất cả tra cứu mặc định
gốc:~# ip r
mặc định qua 10.26.1.1 dev ens18.200
10.26.0.0/22 dev ens18.200 liên kết phạm vi kernel proto src 10.26.1.100
192.168.1.0/24 dev ens18.40 liên kết phạm vi kernel proto src 192.168.1.114
root:~# iptables -vnL
Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte)
pkts byte đích prot chọn không tham gia đích nguồn
Chuỗi FORWARD (chính sách CHẤP NHẬN 0 gói, 0 byte)
pkts byte đích prot chọn không tham gia đích nguồn
ĐẦU RA chuỗi (chính sách CHẤP NHẬN 0 gói, 0 byte)
pkts byte đích prot chọn không tham gia đích nguồn
root:~# iptables -vnL -t nat
PREROUTING chuỗi (chính sách CHẤP NHẬN 39528 gói, 7495K byte)
pkts byte đích prot chọn không tham gia đích nguồn
166 8509 CHUYỂN ĐỔI tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng [cổng mới]
215 10964 CHUYỂN ĐỔI tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 cổng chuyển hướng [cổng mới]
Chuỗi INPUT (chính sách CHẤP NHẬN 38823 gói, 7422K byte)
pkts byte đích prot chọn không tham gia đích nguồn
ĐẦU RA chuỗi (chính sách CHẤP NHẬN 249 gói, 15870 byte)
pkts byte đích prot chọn không tham gia đích nguồn
3 180 CHUYỂN ĐỔI tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 cổng chuyển hướng [cổng mới]
3 180 CHUYỂN ĐỔI tcp -- * lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 cổng chuyển hướng [cổng mới]
Chuỗi POSTROUTING (chính sách CHẤP NHẬN 255 gói, 16230 byte)
pkts byte đích prot chọn không tham gia đích nguồn
gốc:~# tcpdump
-bash: tcpdump: không tìm thấy lệnh
