kyonn 最近的时间轴更新 kyonn 最近的时间轴更新 |
kyonnV2EX 第 109647 号会员,加入于 2015-04-07 18:44:45 +08:00今日活跃度排名 654 |
kyonn 最近回复了
@yinmin 好的, 多谢.
@yinmin 有些难以取舍. 还有别的方法吗?
方法一多加了一层 NAT, 性能倒是其次, 关键是 透明网关 上的统计信息无法再看到实际的源 ip 了.
方案二每台机器都要配置, 最早还开了 dchp option121 直接下发 7.0.0.0/8 的静态路由给所有客户端, 后来发现米家的中枢网关会被这条下发的静态路由规则搞死, 上不了网, 因此就把 option 121 关掉了.
方法一多加了一层 NAT, 性能倒是其次, 关键是 透明网关 上的统计信息无法再看到实际的源 ip 了.
方案二每台机器都要配置, 最早还开了 dchp option121 直接下发 7.0.0.0/8 的静态路由给所有客户端, 后来发现米家的中枢网关会被这条下发的静态路由规则搞死, 上不了网, 因此就把 option 121 关掉了.
宿主机上还有其他虚拟机, 这些虚拟机的容器内 到 7.0.0.11 是可达的, 抓包发现路径也跟前面的一样, 响应报文不会经过路由器网关. 也就是说, 报文的去程和回程也是不同的, 但是可达.
宿主机直接加一条静态路由 : route add -net 7.0.0.0 netmask 255.0.0.0 gw 192.168.10.5 可以解决问题.
想知道比较正确的做法应该是怎样的?
想知道比较正确的做法应该是怎样的?
问题原因应该是 透明网关发现 icmp 的源 ip 是宿主机 bridge0 网卡, 所以目的 mac 就直接用 bridge0 网卡的, 而不是回复给路由器网关.
1 天前 回复了 kyonn 创建的主题 › 宽带症候群 › 求推荐个简单可靠的透明网关部署方案. |
最终还是写 iptables 规则了事
3 天前 回复了 kyonn 创建的主题 › 宽带症候群 › 求推荐个简单可靠的透明网关部署方案. |
@badgv 要这么说也很有道理... 之前之所以不考虑直接在宿主机上配 iptables 主要是考虑到 宿主机上起了 docker, 本身 iptables 规则已经被搞得乱七八糟了, 再手动加规则, 感觉不好维护, 也不知道会不会被 docker 的操作自动清除规则, 或者规则冲突之类的.
3 天前 回复了 kyonn 创建的主题 › 宽带症候群 › 求推荐个简单可靠的透明网关部署方案. |
@badgv 怎么说?
3 天前 回复了 kyonn 创建的主题 › 宽带症候群 › 求推荐个简单可靠的透明网关部署方案. |
感觉需要的是一个更简单的三层交换机功能的容器.
3 天前 回复了 kyonn 创建的主题 › 宽带症候群 › 求推荐个简单可靠的透明网关部署方案. |
@badgv 感觉用 openwrt 好像还是复杂, 做不到开箱即用, 容器启动后还要登录网页或 ssh 配置转发规则?
Select Language