我们可以改变数据包的源地址吗?
假设一个设备向桥接设备发送数据包,桥接设备向路由器发送数据包,路由器向计算机发送数据包。
是否有可能在网桥设备(hAP lite)或路由器(hAP ac3)中更改此数据包的源地址,但在路由器的网桥IP防火墙规则应用之前?
实际的问题是,我有两个具有相同固定IP的设备,都连接到同一个路由器,我正在寻找一种方法来区分它们的数据包,并能够知道哪个数据包来自这些设备中的哪个。使用MAC地址是我最后的选择。
-
-
BrainTrance
刚刚加入了
- 职位: 21
- 加入:
Re:我可以更改数据包的源地址吗?
所以我在网桥界面上勾选了“使用IP防火墙”,因为这是我使用的,然后添加
/ip firewall NAT add chain=srcnat src-address=xxx.xxx.xx。X /24 action=src-nat to-addresses=xxx.xxx.xx。x out-interface =桥
当我添加它时,设备和我的计算机之间的通信停止,加上我正在用Wireshark监控到我的计算机的数据包,没有带有“to-address”IP的传入/传出数据包。
-
-
BrainTrance
刚刚加入了
- 职位: 21
- 加入:
Re:我可以更改数据包的源地址吗?
我会给它一个尝试,如果我找不到任何其他的解决方案,虽然我不熟悉mangle,我不确定我理解这个解决方案背后的逻辑。我认为更改数据包的源地址然后将其发送出去相对容易我相信类似的(或相同的)问题在这个线程.
Re:我可以更改数据包的源地址吗?
论坛上的一些帖子…(周围还有一些,但我缺少参考资料)
viewtopic.php吗?t = 182895
viewtopic.php吗?p = 639899 # p639899
PS:我一直在找的那个
viewtopic.php吗?p = 784317
viewtopic.php吗?t = 182895
viewtopic.php吗?p = 639899 # p639899
PS:我一直在找的那个
viewtopic.php吗?p = 784317
Re:我可以更改数据包的源地址吗?
这个大问题,不容易解决,是这样的:
因此,源地址不足以让IP层区分两个设备,因为来自这些设备的数据包必须使用入口端口或src MAC地址来区分。同样困难的问题是,由于普通的IP协议栈无法决定使用哪个出口端口,所以需要两个路由表来决定向哪里推送出口数据包。
实际的问题是,我有两个设备具有相同的固定IP,都连接到同一个路由器
因此,源地址不足以让IP层区分两个设备,因为来自这些设备的数据包必须使用入口端口或src MAC地址来区分。同样困难的问题是,由于普通的IP协议栈无法决定使用哪个出口端口,所以需要两个路由表来决定向哪里推送出口数据包。
Re:我可以更改数据包的源地址吗?
大问题?我不觉得有什么问题。除非用户坚持只使用同一个地址连接不同的设备来启动连接。
我已经配置了路由器和设备,配置了许多地址,然后我有完全相同的硬件,具有完全相同的配置(和IP地址),在我的局域网中将它们分开,并做同步配置文件之类的事情绝对没有问题。雷竞技官网网站下载
它们在我的局域网地址中被识别为不同的IP地址。它们的接口地址不属于LAN范围,而只属于与该设备范围NATted的小子局域网(有时也称为DMZ)。
我们一直都在这么做。100.000个局域网包含一个IP地址为192.168.1.100的设备。他们都去互联网,如果我们允许(传入)端口转发,他们可以从互联网上寻址,与他们的公共地址。这是因为我们在Internet (WAN)和LAN之间的转换中使用了srcNAT/MAsquerade/dstNAT。这些设备无法通过Internet访问192.168.1.100,但似乎没有人需要这样做。(即使这样,它也可以使用双重转换:(192.168.1.100 ->所需设备的唯一WAN地址-> 192.168.1.100)参见上面给出的最后一个论坛链接)
解释这一点的一种方法是,把你的局域网想象成互联网,你的路由器通过它的广域网端口连接到你的局域网。路由器的局域网以太网端口连接到使用192.168.x的私有局域网。0/24地址范围。如果需要多个相同的范围,那么广域网端口需要多个地址用于单独的传入寻址,并且必须在IP路由中添加“%ether”。然后使用Internet连接执行srcNAT/Masquerade/dstNAT。输出方向可以用一个(伪装)或多个广域网端口地址完成。
我已经配置了路由器和设备,配置了许多地址,然后我有完全相同的硬件,具有完全相同的配置(和IP地址),在我的局域网中将它们分开,并做同步配置文件之类的事情绝对没有问题。雷竞技官网网站下载
它们在我的局域网地址中被识别为不同的IP地址。它们的接口地址不属于LAN范围,而只属于与该设备范围NATted的小子局域网(有时也称为DMZ)。
我们一直都在这么做。100.000个局域网包含一个IP地址为192.168.1.100的设备。他们都去互联网,如果我们允许(传入)端口转发,他们可以从互联网上寻址,与他们的公共地址。这是因为我们在Internet (WAN)和LAN之间的转换中使用了srcNAT/MAsquerade/dstNAT。这些设备无法通过Internet访问192.168.1.100,但似乎没有人需要这样做。(即使这样,它也可以使用双重转换:(192.168.1.100 ->所需设备的唯一WAN地址-> 192.168.1.100)参见上面给出的最后一个论坛链接)
解释这一点的一种方法是,把你的局域网想象成互联网,你的路由器通过它的广域网端口连接到你的局域网。路由器的局域网以太网端口连接到使用192.168.x的私有局域网。0/24地址范围。如果需要多个相同的范围,那么广域网端口需要多个地址用于单独的传入寻址,并且必须在IP路由中添加“%ether”。然后使用Internet连接执行srcNAT/Masquerade/dstNAT。输出方向可以用一个(伪装)或多个广域网端口地址完成。
Re:我可以更改数据包的源地址吗?
大问题?我不觉得有什么问题。
(剪)
我们一直都在这么做。100.000个局域网包含一个IP地址为192.168.1.100的设备。
所有这10万台设备在同一时间使用同一地址的NAT是由一个NAT服务器完成的吗?在我看来,问题不是NAT,问题是如何到达使用相同IP地址的两个设备,连接到同一路由器的不同L2子网-从该路由器(即没有第三个设备做额外的NAT)。如果这个问题得到解决,那么宇宙的其余部分将从这个解决方案中受益。
OP的问题是很容易解决的,如果每个设备硬编码使用相同的地址,在单独的NAT路由器后面。这实际上是所有使用相同ISP网络的局域网的情况。
Re:我可以更改数据包的源地址吗?
我以为它已经解决了。一个设备在所有独立端口上具有相同的IP地址和相同的IP子网,每个端口一个设备(以太网端口)。
viewtopic.php吗?t = 107142
如果路由器上没有足够的以太网端口,那么vlan可以集群到具有访问端口的多端口交换机。
每个设备需要一个以太网端口。(对于100k个设备,一个设置无法解决。但应该适用于某些受以太网端口数量限制的设备)
viewtopic.php吗?t = 107142
如果路由器上没有足够的以太网端口,那么vlan可以集群到具有访问端口的多端口交换机。
每个设备需要一个以太网端口。(对于100k个设备,一个设置无法解决。但应该适用于某些受以太网端口数量限制的设备)
Re:我可以更改数据包的源地址吗?
问题解决了。我是在回复上面OP的第5个帖子,他写道:
我的回答是,这很容易做到……如果只有一个连接的设备使用IP地址。如果多个连接的设备使用相同的IP地址,这就不容易了……是的,基本的先决条件是这些设备在L2中分开(物理路由器端口或VLAN…它假定下游有一个支持vlan的交换机)。我认为更改数据包的源地址然后将其发送出去相对容易
谁在线?
浏览本论坛的用户:rikpal,Semrush(机器人)14位客人