|
|
马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
RouterOS的one to one NAT 即一对一NAT配置
RouterOS的one to one NAT 即一对一NAT配置
RouterOS的one to one NAT 即一对一NAT配置
写信给mikrotik询问RouterOS是否支持full cone nat,但回复是不能支持,由于RouterOS的firewall是基于iptables,所以又在google上搜索了下full cone nat iptables,查到了相关iptables配置full cone nat的参数,其实就两条命令,具体内容如下:
假设eth0为公网接口,IP地址为10.0.0.10,eth1为内网IP地址为192.168.88.1
Full Cone NAT的配置如下:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.0.0.10
iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.88.1
首先-o是out-interface为eth0,将所有发向外网接口的地址通过snat转换为10.0.0.10,再通过第二条规则将所有从外网进入eth0的数据包通过dnat转换为内网的192.168.88.1
这个是iptables的配置,我们在把这个命令转换成RouterOS的配置,这里iptables使用的两个链表是postrouting和prerouting,即路由后和路由前,在RouterOS内部处理也是一样的,但nat配置被RouterOS独立一个区域,所以我们可以直接进入ip firewall nat里进行配置,在nat下我们选择srcnat链表和dstnat链表,配置如下:
/ip firewall nat
add chain=srcnat out-interface=eth0 action=src-nat to-address=10.0.0.10
add chain-dstnat in-interface=eth0 action=dst-nat to-address=192.168.88.1
这个配置仅仅是理论,没有实际测试过!所以仅供参考!.
[关于RouterOS的Full cone nat]
|
|
发表于 2013-4-28 09:06:43