OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
› OpenWrt 官方网站
这是一个创建于 3296 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为路由器本身性能较差(IP: 192.168.5.1),在 Lan 端接了一台性能较的机器( IP:192.168.5.100 )监听 1080 端口,因为 192.168.5.100 这台机器没法做 GEOIP 或者 IPSET. 所以就在路由器上通过 GEOIP 来区分流量。
iptables -t nat -A PREROUTING -p tcp -m geoip ! --dst-cc CN -j DNAT --to-destination 192.168.5.100:1080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.5.100 --dport 1080 -j SNAT --to-source 192.168.5.1
但是不起作用,请教各位需要怎么设置?
iptables -t nat -A PREROUTING -p tcp -m geoip ! --dst-cc CN -j DNAT --to-destination 192.168.5.100:1080
iptables -t nat -A POSTROUTING -p tcp -d 192.168.5.100 --dport 1080 -j SNAT --to-source 192.168.5.1
但是不起作用,请教各位需要怎么设置?
第 1 条附言 · 2015-10-28 14:36:04 +08:00
192.168.5.100 也是一台 OpenWrt 机器,监听 1080 端口
这边没做什么设置
这边没做什么设置
第 2 条附言 · 2015-10-28 17:25:45 +08:00
18 条回复 • 2015-10-29 11:38:27 +08:00
 |
1
fangdingjun 2015-10-28 12:56:53 +08:00
使用`iptables -nvL -t nat` 查看一下规则的计数,如果计数不为 0 ,则规则没有问题,要检查 192.168.5.100 的配置
|
 |
2
paradislover OP @fangdingjun 192.168.5.100 需要怎么配置
|
 |
3
GPU 2015-10-28 13:11:05 +08:00
iptables -t nat -A POSTROUTING -p tcp -d 192.168.5.100 --dport 1080 -j SNAT --to-source 192.168.5.1
以上这条换 iptables -t nat -A POSTROUTING -j MASQUERADE 试试行不行 |
|
4
paradislover OP @GPU 不行,依然不能通过 192.168.5.100 上网
|
|
5
GPU 2015-10-28 15:15:59 +08:00
@paradislover 画个图片把。文字有点难理解
|
|
6
paradislover OP @GPU 图片已附
|
|
7
GPU 2015-10-28 18:09:25 +08:00
你寫規則應該沒有錯的.
ip_forward 開了碼? |
 |
8
EPr2hh6LADQWqRVH 2015-10-28 18:29:45 +08:00
简直乱搞, 你确定你懂 DNAT 是啥?
让你算力强的机器当默认网关,在这台机器上再连上级路由器,所有数据包多一跳 还有难道 Geoip 就不消耗算力么 |
 |
9
lsylsy2 2015-10-28 18:38:59 +08:00
@avastms 他应该是让那台机器做 s!@#s 的服务器( v!@#p$%^n 同理),加密吃的 CPU 比 geoip 多多了
|
|
10
paradislover OP @lsylsy2 还是你懂我
|
|
11
paradislover OP @avastms 那给个方案吧, proxy 没法分流,就是这么个情况,所以…折腾
|
|
12
lsylsy2 2015-10-28 19:52:05 +08:00
@paradislover 因为我也在研究这么搞……
不过我是 VPN ,最后大概是拿块 x86 的主板当主路由,而且 VPN 是改路由表也不涉及 ipset 所以没啥经验给你了…… |
 |
13
pagxir 2015-10-28 22:16:44 +08:00 via iPad
跟路由没关系,是因为你的 proxy 是无法正常工作的,因为在执行 NAT 转发的过程中你的目标 IP 经被修改了所以请你的 pxoxy 根本不可能拿到正确的目标地址。
|
 |
14
XiaoxiaoPu 2015-10-28 22:36:19 +08:00
楼上说得对 ss-redir 之所以能透明代理,是因为内核在 redirect 时保存了原始的目的地址和端口,可以用 socket 接口取得。跨越了不同的机器后,原始的目的地址和端口就丢失了。
|
|
15
paradislover OP @pagxir 恩,受教
|
 |
16
BOYPT 2015-10-28 23:35:44 +08:00
看到标题脑内自觉翻译成英文
|
 |
17
firexp 2015-10-28 23:53:32 +08:00
ss-redir 必须运行在网关上
|
|
18
pagxir 2015-10-29 11:38:27 +08:00
其实可以有变通的方法实现你的需求的,
方法 1 、修改 DNS 方法 2 、请作如下修改 sysctl -w net.ipv4.conf.all.rp_filter=0 iptables -t mangle -A PREROUTING -p tcp -d <YOUR_RELAY_VPS_IP> -j RETURN iptables -t mangle -A PREROUTING -p tcp -m geoip ! --dst-cc CN -j MARK --set-mark 0x33445566 ip route flush table 30 ip route add default dev $if_lan table 30 ip rule add fwmark 0x33445566 table 30 pref 999 |
Select Language