HOw Я предоставляю доступ к Интернету VLAN?
Создайте файл: /etc/cron.monthly/backups.sh сделайте его выполнимым: $ chmod +x /etc/cron.monthly/backups.sh
, чтобы его убрать, создайте переменную:
DATE=`date +%Y.%m.%d-%H.%M.%S` # eg. 2016.04.22-13.01.59
И затем ссылайтесь на свою команду выше с: /bckupftp/backup${DATE}.tar.gz
Он создаст файл, похожий на: /bckupftp/backup2016.04.22-13.01.59.tar.gz
Не стесняйтесь удалять точки по своему вкусу и потребностям.
2 ответа
То, что вы ищете, называется «NAT». Это делается по умолчанию на многих маршрутизаторах, однако по умолчанию это не делается в системах Linux.
Вам нужно включить пересылку IPv4 в систему, чтобы она работала. Добавьте это в конец /etc/sysctl.conf:
net.ipv4.ip_forward = 1
После этого вы можете получить это, выполнив sudo sysctl -p. Это позволяет передавать трафик через.
Поскольку ваш интернет-маршрут по умолчанию находится в общедоступном Интернете, но вы хотите настроить NAT, чтобы другие машины VLAN могли выходить в Интернет через вашу систему , вам нужно настроить что-то подобное в iptables:
iptables -t nat -A POSTROUTING -s ip.add.re.ss/24 ! -d ip.add.re.ss/24 -m comment --comment "Allow vlanXX to go to the Internet, masquerade as the public IP." -j MASQUERADE
Это правило в таблице NAT для маршрутизации трафика после его поступления в систему. Вам понадобятся три из этих правил: по одному для каждой подсети каждой VLAN. Откорректируйте ip.add.re.ss и vlanXX соответственно, чтобы точно соответствовать информации для вашей сети.
Вам также необходимо иметь правило ACCEPT в таблице filter в iptables для FORWARD, и вы обычно делаете это через интерфейс, например, обновляя элементы XX, чтобы быть номером vlan:
iptables -t filter -A FORWARD -o ens1f1.XX -m comment --comment "NAT for vlanXX" -j ACCEPT
iptables -t filter -A FORWARD -i ens1f1.XX -m comment --comment "NAT for vlanXX" -j ACCEPT
. После этого вы должны убедиться, что вы сохранили iptables. В идеале вы сделали бы это, если бы вы его не установили первым, и скажите «Да», когда он попросит сохранить ваши правила:
sudo apt-get install iptables-persistent
... и это установит iptables правила правильно загружаются, а также сохраняют правила. Если у вас уже есть iptables-persistent, вам необходимо обновить правила, которые он загружает:
sudo su -c 'iptables-save > /etc/iptables/rules.v4'
... и теперь правило NAT MASQUERADE будет установлено каждый раз при загрузке.
То, что вы ищете, называется «NAT». Это делается по умолчанию на многих маршрутизаторах, однако по умолчанию это не делается в системах Linux.
Вам нужно включить пересылку IPv4 в систему, чтобы она работала. Добавьте это в конец /etc/sysctl.conf:
net.ipv4.ip_forward = 1
После этого вы можете получить это, выполнив sudo sysctl -p. Это позволяет передавать трафик через.
Поскольку ваш интернет-маршрут по умолчанию находится в общедоступном Интернете, но вы хотите настроить NAT, чтобы другие машины VLAN могли выходить в Интернет через вашу систему , вам нужно настроить что-то подобное в iptables:
iptables -t nat -A POSTROUTING -s ip.add.re.ss/24 ! -d ip.add.re.ss/24 -m comment --comment "Allow vlanXX to go to the Internet, masquerade as the public IP." -j MASQUERADE
Это правило в таблице NAT для маршрутизации трафика после его поступления в систему. Вам понадобятся три из этих правил: по одному для каждой подсети каждой VLAN. Откорректируйте ip.add.re.ss и vlanXX соответственно, чтобы точно соответствовать информации для вашей сети.
Вам также необходимо иметь правило ACCEPT в таблице filter в iptables для FORWARD, и вы обычно делаете это через интерфейс, например, обновляя элементы XX, чтобы быть номером vlan:
iptables -t filter -A FORWARD -o ens1f1.XX -m comment --comment "NAT for vlanXX" -j ACCEPT
iptables -t filter -A FORWARD -i ens1f1.XX -m comment --comment "NAT for vlanXX" -j ACCEPT
. После этого вы должны убедиться, что вы сохранили iptables. В идеале вы сделали бы это, если бы вы его не установили первым, и скажите «Да», когда он попросит сохранить ваши правила:
sudo apt-get install iptables-persistent
... и это установит iptables правила правильно загружаются, а также сохраняют правила. Если у вас уже есть iptables-persistent, вам необходимо обновить правила, которые он загружает:
sudo su -c 'iptables-save > /etc/iptables/rules.v4'
... и теперь правило NAT MASQUERADE будет установлено каждый раз при загрузке.
-
1Дорогой Томас, благодарю вас за ваш быстрый и тщательный ответ. Значит, мне не нужны мосты, чтобы решить эту проблему? Роутер, о котором идет речь, все еще живет в моей лаборатории разработки, я бы никогда не позволил чему-либо подключиться к дикой природе без брандмауэра. Хотя я заглянул в ufw, я не мог видеть, что это помогает мне. Тем не менее, мои попытки использовать IPtables также не увенчались успехом. Я завариваю решение в соответствии с вашим рецептом и отчитываюсь. С уважением, Кевин – Kevin Anderson 6 February 2018 в 21:13
-
2@KevinAnderson Вам не нужен мост, нет. Особенно, если VLAN напрямую связаны с самим портом. Вам просто нужен простой NAT. (Этот NAT только позволяет ему выйти, он не позволяет возвращать несвязанный трафик в системы, поэтому, если вы используете веб-сервер в 1.2.3.4 на vlan30, вы не можете получить доступ к веб-серверу из общедоступного IP-адреса без особого сложные правила NAT) – Thomas Ward♦ 6 February 2018 в 21:45
-
3@KevinAnderson Также вам нужно, чтобы машина правильно настроена для тегов VLAN 802.1Q, на связанную «VLAN», помогите статье из справочной документации Ubuntu, чтобы все это работало правильно. Однако, не зная больше о вашей настройке, и предполагая, что это просто прямые VLAN, и это выделенный шлюз, не должно быть проблем. Однако, если VLAN являются внутренними виртуальными интерфейсами Ethernet или чем-то еще, это делает его более сложным. Основы здесь, однако. – Thomas Ward♦ 6 February 2018 в 21:46