一、背景描述
如圖 ， Linux是一臺網(wǎng)關(guān)服務(wù)器 ， 內(nèi)有3塊網(wǎng)卡
eth1綁定172.17.0.0/16的IP ， 該網(wǎng)段IP可以通過172.17.1.1上網(wǎng)
eth0綁定192.168.10.0/24的IP ， 該網(wǎng)段IP可以通過192.168.10.1上網(wǎng)
eth2綁定192.168.1.1 ， 是內(nèi)網(wǎng)用戶的網(wǎng)關(guān)
二、需求分析
內(nèi)網(wǎng)用戶應(yīng)該走172.17.1.1這個路由上網(wǎng)
但由于工作需要 ， 部分用戶應(yīng)該有訪問圖中“專用網(wǎng)絡(luò)”的權(quán)限
也就是說 ， 應(yīng)該走192.168.10.1這個路由
另外一點 ， 所有人應(yīng)該可以訪問FTP服務(wù)器 ， 這個服務(wù)器的IP是192.168.10.96
也就是說 ， 走172.17.1.1路由的人 ， 也應(yīng)該能訪問192.168.10.96 ， 且可以上網(wǎng)
三、解決方案
要解決這個問題 ， 用到了一下幾個命令 ， 具體使用方法需要另查資料
ip route
ip rule
arp
注：關(guān)于ip命令的用法 ， 請查閱ip中文手冊 ， www.Google.com上有
1、綁定IP
ifconfig eth1 172.17.3.x netmask 255.255.0.0
ifconfig eth0 192.168.10.2 netmask 255.255.255.0
ifconfig eth2 192.168.1.1 netmask 255.255.255.0
然后分別修改/etc/sysconfig/network-script/ifcfg-ethx文件 ， 以使計算機啟動自動設(shè)置IP地址
2、創(chuàng)建非凡路由表
vi /etc/iproute2/rt_table
代碼:
#
# reserved values
#
255;;local
254;;main
253;;default
0;;;;unspec
200;;NET10
#
# local
#
#1;;;inr.ruhep
上面那個200 NET10為新添加 ， 自定義編號為200 ， 名字為NET10
3、向NET10路由中添加它自己的默認路由
代碼:
ip route add default via 192.168.10.1 table NET10
注重 ， 這個table NET10一定不要忘了寫 ， 否則寫到了主路由表中
4、創(chuàng)建非凡路由規(guī)則
用ip rule可以看到計算機當前的路由規(guī)則
引用:
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
可以看到 ， 規(guī)則中走了3個路由表 ， local、main、default
我們平常用route看到的 ， 實際是路由表main
這些規(guī)則是按序號大小順序走的 ， 一個不同 ， 則走下一個 ， 知道通路或走完為止
開始添加我們自己的路由NET10到路由表中
代碼:
ip rule add from 192.168.1.222 pref 10000 table NET10
這個意思是說 ， 假如來自IP地址為192.168.1.222的訪問 ， 則啟用NET10的路由表中的路由規(guī)則
而NET10的路由規(guī)則是什么呢？上面已經(jīng)設(shè)置了 ， 走的是192.168.10.1的網(wǎng)段
接下來 ， 使LINUX可以NAT（這里不再細說HOW TO了）
5、讓所有人可以訪問192.168.10.xx（這個IP不便說出來）
因為其余人都走了172.17.1.1這個路由 ， 所以他們是無法訪問192.168.10.xx的
怎么才能實現(xiàn)呢？再添加個策略就可以了！
代碼:
ip rule add to 192.168.10.xx pref 10001 table NET10
這句話的意思是說 ， 所有人 ， 假如目的IP是192.168.10.xx ， 則臨時使用NET10的路由表
這樣做 ， 安全會不會有安全問題呢？路由變了 ， 他們會不會訪問到專用網(wǎng)絡(luò)呢？
不會的 ， 因為路由規(guī)則是to 192.168.10.xx ， 也就是目標是96時 ， 才該路由的 ， 訪問別的網(wǎng)站還是走原來的路由 。
假如說訪問到專用網(wǎng)絡(luò)的機器 ， 也就只有10.xx這一臺而已 。
這里 ， 我們還可以做一個小技巧 ， 不告訴別人192.168.10.xx的地址 ， 只告訴他們網(wǎng)關(guān)192.168.1.1上有這個服務(wù)
iptables -t nat -A PREROUTING -d 192.168.1.1/32 --dport 21 -j DNAT --to 192.168.10.xx:21

6、防止其他人篡改IP地址而獲得非凡權(quán)限
arp有個靜態(tài)功能CM ， 不是C ， 大家可能知道
假如給一個IP地址強行綁定一個非他自己的MAC ， 會怎么樣呢？雙方會話將會失??！

推薦閱讀

• 

  省點花錦鯉卡免費辦理是否真的
• 

  微信頁面變成黑色怎么調(diào)回白色
• 

  王者榮耀角色轉(zhuǎn)移號是什么意思
• 

  雪兔子與雪蓮區(qū)別
• 

  請問250克是幾斤幾兩
• 

  藍柑是什么
• 

  駕校App制作方案分析
• 

  如何刪除手機上的日歷里的日程
• 

  石竹花種子怎么種
• 

  淘寶省錢卡怎么開通 淘寶省錢卡開通方法
• 

  電子商務(wù)是什么意思，電子商業(yè)是什么意思？
• 

  松原什么通高鐵，扶余縣扶余北站什么時候開通動車組正式運行扶余北站什么時候建
• 

  國家歌曲節(jié)奏 國家的歌曲怎么打節(jié)拍
• 

  棒的同義詞是什么
• 

  小編教你按鍵精靈開發(fā)后臺命令腳本的操作教程
• 

  茄子不能這樣吃，否則后果很嚴重

• 家庭陽臺草莓種植方法下雨怎么辦
• Tap Roulette在哪里下載
• 疏影橫斜水清淺的下一句
• 曬辣椒怎么曬
• 天貓魔盒怎么下載第三方軟件
• 唐朝妃子等級
• 山山水水處處明明秀秀下一句
• 山茶花花語
• 無米之炊下一句是什么無米之炊下一句是啥
• 腋下有異味怎么辦