问题和网络配置
我目前正在尝试使用 netplan 在 Ubuntu 18.04 服务器中允许两个接口(每个接口都有自己的子网)之间的通信,但是我很难获得正确的配置。这里是网络的图形表示:
网络解释
在图像中,中心黄色设备是左侧客户端的 DHCP 服务器,使用enp8s0具有静态 IP 的接口192.168.254.254和子网掩码255.255.255.240。客户端(橙色框)从 DHCP 服务器获取其 IP。每个客户端还通过 Nginx 托管网页。所有这些设备都运行 Ubuntu 18.04 服务器。不必担心每台客户端计算机上的地址可能会发生变化。
右侧黄色的“服务器”有界面enp7s0配置静态 IP172.16.0.1和子网掩码255.255.255.252。然后将此接口连接到我的笔记本电脑,其接口设置为172.16.0.2具有相同的子网掩码。
总体的目标
我想要做的是能够通过我的笔记本电脑在任意一个客户端上查看网站。这些机器无需连接到互联网,所有连接都通过以太网电缆完成。
当前配置
网络计划:
黄色“服务器” netplan 配置文件:
network:
version: 2
renderer: networkd
ethernets:
enp7s0:
addresses: [172.16.0.1/30]
gateway4: 172.16.0.1
routes:
- to: 192.168.254.240/28
via: 172.16.0.1
on-link: true
enp8s0:
addresses: [192.168.254.254/28]
gateway4: 192.168.254.254
routes:
- to: 172.16.0.0/30
via: 192.168.254.254
on-link: true
IP 转发:
该net.ipv4.ip_forward=1
行在/etc/sysctl.conf文件。
跑步cat /proc/sys/net/ipv4/ip_forward
回报1。
DHCP 服务器:
我已经设定接口v4等于enp8s0在/etc/default/isc-dhcp 服务器。
最后,我的/etc/dhcp/dhcpd.conf配置如下:
# option definitions common to all supported networks...
default-lease-time 600;
max-lease-time 7200;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
# So DHCP server knows of other subnet
subnet 172.16.0.0 netmask 255.255.255.252 {
}
# DHCP server subnet
subnet 192.168.254.240 netmask 255.255.255.240 {
range 192.168.254.241 192.168.254.253;
option subnet-mask 255.255.255.240;
option routers 192.168.254.254;
option broadcast-address 192.168.254.255;
default-lease-time 600;
max-lease-time 7200;
}
答案1
我不会使用路由来尝试在两个子网之间正确路由流量。您可能会陷入路由循环,从而导致事情中断。
您可能应该考虑做的是让您的系统充当路由器,并使用 NAT 进行所有转发。一种快速简单的方法是在每个接口上安装 NAT MASQUERADE。(但您还需要删除现有的路由规则,因为它们无法正常工作。)
您需要向防火墙添加规则来处理以下情况:
- 192.168.254.240/28 -> 172.16.0.0/30
- 172.16.0.0/30 -> 192.168.254.240/28
您iptables
需要像这样进行设置(开头带有#的注释行仅解释每条规则的作用):
# Allow traffic to be forwarded from enp7s0 to enp8s0
iptables -A FORWARD -i enp7s0 -j ACCEPT
# Allow traffic to be forwarded from enp8s0 to enp7s0
iptables -A FORWARD -i enp8s0 -j ACCEPT
您还需要设置 NAT 规则,这可能不会很好,但我们必须让“路由器”成为我们伪装源的路由器。
iptables -t nat -A POSTROUTING -o enp7s0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp8s0 -j MASQUERADE
这应该允许子网之间的双向 NAT 遍历。请确保节省但这些规则是为未来而制定的。
如果这不起作用,请告诉我,如果发生这种情况,我会更深入地研究这个问题。