|
马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
桥网络地址翻译 Bridge nat
操作路径: /interface bridge nat 本部分描述了在一般防火墙描述中省略了的桥 nat 选项。
属性描述
action (accept | arp-reply | drop | dst-nat | jump | log | mark | passthrough | redirect | return |
src-nat; 默认: accept) - 如果数据包匹配了其中一个规则就采取动作:
accept - 接受包,无动作。例如:数据包通过而没有任何动作,并且没有其他规则会在相关列表/链中处理。 arp-reply - 发送一个带有指定 MAC 地址的 ARP 应答(任何其他包都会被这条规则忽略,仅在 dstnat 链内 有效)
drop – 悄然丢弃数据包 (不发送 ICMP 拒绝信息)
dst-nat - 改变一个包的目的 MAC 地址 (仅在 dstnat 链有效)
jump - 跳转到由 jump-target 变量指定的链
log - 记录数据包
mark – 标记数据包以便后面使用
passthrough - 忽视这条规则并到下一个。除了对包计数外像一个被禁用的规则一样动作
redirect - 把数据包重新定位到桥本身(仅在 dstnat 链中有效)
return - 从跳转发生的地方回到之前的链
src-nat - 改变包的源 MAC 地址 (仅在 srcnat 链中有效)
out-bridge (名称) - 流出桥接口
to-arp-reply-mac-address (MAC 地址) - 当选中 action=arp-reply 时,把源 MAC 地址加入以太网 帧及 ARP 有效负载
to-dst-mac-address (MAC 地址) - 当选中 action=dst-nat 时,把目的 MAC 地址加入以太网帧
to-src-mac-address (MAC 地址) - 当选中 action= src-nat 时,把源 MAC 地址加入以太网帧
桥路路由
操作路径: /interface bridge broute
这部分描述在一般防火墙描述省略了的桥路设施具体选项,桥路表应用于进入一个转发受控接口的每个包(例如:它不会工 作在普通的接口,因为它们没有包含在桥里)。
属性描述
action (accept | drop | dst-nat | jump | log | mark | passthrough | redirect | return; 默认: accept)
- action to undertake if the packet matches the rule, one of the:
如果数据包匹配了其中一个规则就采取动作:
accept - 由桥接代码决定对数据包做哪种处理
drop - 从桥接代码中提取数据包,使它看起来像来自一个非桥接的接口(不会在有其他桥判定或过滤被应用 于这个包除非数据包被路由出到一个桥接的接口,这种情况下包将和其他路由包一样被正常处理)
dst-nat - 改变一个包的目的 MAC 地址(仅在 dstnat 链中有效)
jump - 跳转到由 jump-target 变量指定的链
log - 记录数据包
mark – 标记数据包以便后面使用
passthrough - 忽视这条规则并到下一个。除了对包计数外像一个被禁用的规则一样动作
redirect - 把数据包重新定位到桥本身(仅在 dstnat 链中有效)
return - 从跳转发生的地方回到之前的链
to-dst-mac-address (MAC 地址) - 当选中 action=dst-nat 时,把目的 MAC 地址加入以太网帧
故障分析
-- 路由器显示我的规则不合法
o in-interface, in-bridge (或 in-bridge-port) 被指定,但并不存在这样的接口
o 有一条 action=mark-packet 的动作,但没有 new-packet-mark
o 有一条 action=mark-connection 的动作,但没有 new-connection-mark
o 有一条 action=mark-routing 的动作,但没有 new-routing-mark
|
|