说说实验的环境和实际意义
目前ARP病毒攻击广泛,网吧间竞争激烈
网吧或者企业的朋友都有自己的服务器希望外面不能直接攻击到自己的核心网络
所以一般向ISP申请了多个公网的IP这样的情况下,1个ROS如何去做到?
首先交代1下试验的环境
5个公网IP (58.61.24.169 and 58.61.24.173)
完全影射内网1个地址 172.16.0.7 到其中2个公网IP 58.61.24.170
完全影射内网1个地址 172.16.0.8 到其中2个公网IP 58.61.24.171
而另外1个公网的IP 58.61.24.169 给ROS本身做地址伪装用。
步骤如下
1. 添加 58.61.24.169/24 and 58.61.24.170/24 and 58.61.24.171/24 地址给外网的网卡
把 172.16.0.1/16 添加到本地网卡:
/ip address add address=172.16.0.1/16 interface=Local
/ip address add address=58.61.24.173/24 interface=Public
/ip address add address=58.61.24.172/24 interface=Public
/ip address add address=58.61.24.171/24 interface=Public
/ip address add address=58.61.24.170/24 interface=Public
/ip address add address=58.61.24.169/24 interface=Public
2. 添加默认路由给ROS,注意3个公网地址里面你必须定义1个作为对外网络的地址
/ip route add gateway=58.61.24.174 prefsrc=58.61.24.169
3. 添加源地址伪装给内部的服务器172.16.0.7 and 172.16.0.8,给它专门的IP通道去访问外部网络.
/ip firewall nat add action=src-nat chain=srcnat \ src-address=172.16.0.7/32 to-addresses=58.61.24.170
/ip firewall nat add action=src-nat chain=srcnat \ src-address=172.16.0.8/32 to-addresses=58.61.24.171
4. 添加影射 允许172.16.0.7 and 172.16.0.8 被外网访问到
/ip firewall nat add action=dst-nat chain=dstnat \ dst-address=58.61.24.170/32 to-addresses=172.16.0.7
/ip firewall nat add action=dst-nat chain=dstnat \ dst-address=58.61.24.171/32 to-addresses=172.16.0.8
5. 添加源地址伪装给内部客户机通过网关去访问外部网络
/ip firewall nat add action=src-nat chain=srcnat \ src-address=172.16.0.0/16 to-addresses=58.61.24.169
