关于Ubuntu DHCP server 的一些问题-涉及IPTABLE转发和UFW

[rosynirvana]

通过无线路由接入的设备在无线路由的子网下面，服务器和无线路由在另一个广播域里面，不会冲突的啊……

[poloshiao]

1. 從 Internet 接進來的線 插在 DHCP Server ? 還是 AP ? 還是 Switch ？

都不是，172.16.6.229这个地址是通过公司大网的VLAN出去的，网关是172.16.6.254，

1. 你回答的不是針對我問的 可能是我問的不夠清楚

2. 你是從 DHCP Server ? 還是 AP ? 還是 Switch ？ 直接拉線到 公司大网的VLAN 插孔 ?
2-1. 如果是在 AP 或 Switch 是從 LAN 還是 WAN 插孔 直接拉線到 公司大网的VLAN 插孔 ?

我的服务器的两个网卡连接在同一台交换机上

3. 能否描述 什麼原因 你需要把 DHCP Server 两个网卡 连接在同一台交换机上 ?
這可能是關鍵問題

[micro_cy]

最终实现结果就是使用了IPTABLES，不用开启防火墙UFW, 不过还是没有实现DHCP的方式。必须要手动指定IP地址，比较麻烦，DHCP的功能继续研究吧。

sudo isudo iptables -F
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
#
sudo iptables -t nat -A POSTROUTING -s 192.168.168.123/32 -o eth0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 192.168.168.128/32 -o eth0 -j MASQUERADE
#........
#........
sudo iptables -t nat -A POSTROUTING -s 192.168.168.223/32 -o eth0 -j MASQUERADE
#
这样就能控制，只允许设置过的IP地址进行转发，又不影响未设置的IP地址访问服务器本身。

[micro_cy]

通过无线路由接入的设备在无线路由的子网下面，服务器和无线路由在另一个广播域里面，不会冲突的啊……

你没有注意看我写的拓扑结构，接入不接入无线AP，有线网络和无线网络都在同一个地址段里面都是192.168.10.X。

[rosynirvana]

无线路由下面的设备是它的子网，无论ip是什么也不会暴露给上级设备的……

[micro_cy]

1. 從 Internet 接進來的線 插在 DHCP Server ? 還是 AP ? 還是 Switch ？

我怎么才能说清楚呢？
我的服务器有两个网卡，上面有台交换机，而且只有一台，我把ETH0设置为单位给的IP地址，是172.16.6.229，另一个网卡插在同一台
交换机上，IP地址设置为192.168.10.100，目的是为了让我的台式机使用SSH的时候，既可以使用有线连接，也可以使用无线连接，后来因为我还有一台笔记本需要上网，但是只有WLAN，所以我就在服务器上设置了IPV4的转发，使用的是IPTABLE的功能，因为开启了UFW以后，转发规则就不能用了，因为这个规则我不会写，所以就没有实现，后来就关闭了UFW。

笔记本的IP地址是手动设置的，后来又想让我的手机和其它人的WIFI设备也能通过这个AP上网，但是手机设置IP地址毕竟不太方便，想着如果能开启DHCP功能，那么我就不用手动设置IP地址了，但是为了防止其它未通知我的用户也接入使用这个192段的地址上网，所以，我就想限制用户的IP地址，本来想着使用DHCP来控制获取正确的能上网的IP，但是看来这个想法是行不通的

关闭了AP的DHCP，是因为，AP和服务器也在同一台交换上插着，AP使用的是LAN口，只使用交换功能，没有使用WAN的路由功能，因为我没有可用的172的IP地址，能上外网的IP地址只有229这一个，没有多余的了，其实也可以开启AP的路由功能，再次使用NAT，但是我不想那样做，如果那样做的话，我就需要将AP的本地地址设置成一个192.168.10.x，网关指向100，然后，本地管理地址使用另外一个段，就可以实现通过AP进行管理。不想这样做的原因是，我需要和172段的用户做局域网共享，AP的用户连接多了以后，压力会很大，但是如果只在AP上做转发的话，就能解决这个问题了，也就是说，我只拿AP当交换机使用。

[micro_cy]

无线路由下面的设备是它的子网，无论ip是什么也不会暴露给上级设备的……

我用的是AP功能，不是路由功能，只是交换机，带无线功能的交换机~

[micro_cy]

无线路由下面的设备是它的子网，无论ip是什么也不会暴露给上级设备的……

我用的是AP功能，不是路由功能，只是交换机，带无线功能的交换机~

[poloshiao]

最终实现结果就是使用了IPTABLES

1. 恭喜

不用开启防火墙UFW

2. UFW 是 IPTABLES 的前端
功能比較陽春
IPTABLES 功能比較強
你要使用 IPTABLES
先把 UFW disabled
以免互相干擾

不过还是没有实现DHCP的方式

3. 這裡給你一個嘗試的思維方向

eth1的地址为192.168.10.100/24

3-1. 改為 192.168.10.100/16
意思是 192.168.0.0 ~ 192.168.255.255 都可以連到 eth1
3-1-1. 有關
192.168.10.100/16
192.168.10.100/24
請參考
http://en.wikipedia.org/wiki/IPv4_subnetting_reference
特別注意
Default Subnet Mask in dotted decimal
/16 : 255.255.0.0
/24 : 255.255.255.0

ETH0，IP地址172.16.6.229

3-2. 可以連上 eth0 的 MAC 其 IP 設為 192.168.10.x/24
iptables 對 192.168.10.x/24 無論 eth0 eth1 都放行

3-3. 不可以連上 eth0 的 MAC 其 IP 設為 192.168.20.x/24
iptables 對 192.168.20.x/24 則 eth1 放行 eth0 拒絕

3-4. 在 DHCP server 建立一份 可以連上 eth0 的 網卡 MAC 名單 (無論是 有線網卡/無線網卡 都行 因為只認 MAC)
3-4-1. 凡是名單內的 有線網卡/無線網卡 就分配 192.168.10.x/24
3-4-2. 凡是不在名單內的 有線網卡/無線網卡 就分配 192.168.20.x/24
3-4-3. 方法
參閱
https://help.ubuntu.com/lts/serverguide/dhcp.html
使用 MAC 搜尋

我用的是AP功能，不是路由功能，只是交换机，带无线功能的交换机~

4. 從上面 3. 的關係
用不用 wifi ap 應該都沒關係
只要你的 switch 插孔 夠用就好

所以我就在服务器上设置了IPV4的转发，

我的服务器有两个网卡，上面有台交换机，而且只有一台，我把ETH0设置为单位给的IP地址，是172.16.6.229，

5. 如果你已經設定 eth1 forward eth0 的功能
那麼 eth0 直接連上 通往單位的纜線 不必再經由交换机
5-1. wifi ap, pc, 笔记本 都接上 交换机
交換機 再接 eth1 專供 192.168.10.100/16 區網使用
5-2. 意思是 不要 eth0 eth1 都插到 同一台 switch 這樣有點奇怪

后来因为我还有一台笔记本需要上网，但是只有WLAN

6. 你這裡的 WLAN 可能是一個誤解
它應該可以接 LAN / Intranet / Internet
意思是 如果分配的 IPv4 在 192.168.10.100/16笔记本 也可以接到 switch
請你再確認

7. 這樣 你的 DHCP Server 還可以扮演更多功能
例如 Router
https://help.ubuntu.com/community/Router

[micro_cy]

最终实现结果就是使用了IPTABLES

1. 恭喜

不用开启防火墙UFW

2. UFW 是 IPTABLES 的前端
功能比較陽春
IPTABLES 功能比較強
你要使用 IPTABLES
先把 UFW disabled
以免互相干擾

我必须要关闭UFW，因为如果开启UFW的话，我的转发规则会被禁止掉，意味着，192段的所有人都不能上网了。

不过还是没有实现DHCP的方式

3. 這裡給你一個嘗試的思維方向

eth1的地址为192.168.10.100/24

3-1. 改為 192.168.10.100/16
意思是 192.168.0.0 ~ 192.168.255.255 都可以連到 eth1
3-1-1. 有關
192.168.10.100/16
192.168.10.100/24
請參考
http://en.wikipedia.org/wiki/IPv4_subnetting_reference
特別注意
Default Subnet Mask in dotted decimal
/16 : 255.255.0.0
/24 : 255.255.255.0

ETH0，IP地址172.16.6.229

3-2. 可以連上 eth0 的 MAC 其 IP 設為 192.168.10.x/24
iptables 對 192.168.10.x/24 無論 eth0 eth1 都放行
3-3. 不可以連上 eth0 的 MAC 其 IP 設為 192.168.20.x/24
iptables 對 192.168.20.x/24 則 eth1 放行 eth0 拒絕

这是个办法，也能实现，我看到过相应的IPTABLES的命令，不过，绑定MAC的工作比较麻烦，因为我还需要针对DHCP去写MAC绑定IP的信息，我不想使用MAC来限制用户，只是给他们合法的IP地址就可以了，可能目前我的这个方法最简单，不过就是不能使用DHCP。

3-4. 在 DHCP server 建立一份 可以連上 eth0 的 網卡 MAC 名單 (無論是 有線網卡/無線網卡 都行 因為只認 MAC)
3-4-1. 凡是名單內的 有線網卡/無線網卡 就分配 192.168.10.x/24
3-4-2. 凡是不在名單內的 有線網卡/無線網卡 就分配 192.168.20.x/24
3-4-3. 方法

这个方法我可以直接编辑到dhcpd.cfg里面，写两个地址池就可以了，这个方法可以，不过还是要记录MAC地址。

參閱
https://help.ubuntu.com/lts/serverguide/dhcp.html
使用 MAC 搜尋

这个我可以使用nmap的功能读到所有用户的MAC，倒不是太麻烦，不过后期，比如说，谁想要连接进来的话，还必须要找我才行，我可不是专门的网管

我用的是AP功能，不是路由功能，只是交换机，带无线功能的交换机~

4. 從上面 3. 的關係
用不用 wifi ap 應該都沒關係
只要你的 switch 插孔 夠用就好

所以我就在服务器上设置了IPV4的转发，

我的服务器有两个网卡，上面有台交换机，而且只有一台，我把ETH0设置为单位给的IP地址，是172.16.6.229，

5. 如果你已經設定 eth1 forward eth0 的功能
那麼 eth0 直接連上 通往單位的纜線 不必再經由交换机

这句没太明白，双网卡路由并NAT，是不需要交换机，不过192段的客户端必须使用交换机或者是AP才能访问到192.168.10.100的网关

5-1. wifi ap, pc, 笔记本 都接上 交换机
交換機 再接 eth1 專供 192.168.10.100/16 區網使用
5-2. 意思是 不要 eth0 eth1 都插到 同一台 switch 這樣有點奇怪

插到一台上面也没有什么，都在同一个广播域，IP地址是不一样的，不影响。
呵呵，主要是没有那么多的网络设备，单位资源匮乏，没有多余的交换了。

后来因为我还有一台笔记本需要上网，但是只有WLAN

6. 你這裡的 WLAN 可能是一個誤解
它應該可以接 LAN / Intranet / Internet
意思是 如果分配的 IPv4 在 192.168.10.100/16笔记本 也可以接到 switch
請你再確認

这句话的意思是，我的笔记本只能使用无线网卡连接AP，因为有线的交换机全插满了，没有多余的接口了

7. 這樣 你的 DHCP Server 還可以扮演更多功能
例如 Router
https://help.ubuntu.com/community/Router

感谢你的认真回复和技术支持，在和你讨论的过程中，我也学习到了很多，基本上解决了我的问题了。

[poloshiao]

谁想要连接进来的话，还必须要找我才行

1. 這句話 有誤解 只有想連上 172.16.6.229 的才需要蒐集他的 MAC
不想要連上 172.16.6.229 的 可以不知道他的 MAC
2. 依你的需求 hub switch 可能都可以 目前價格應該都很便宜

[rosynirvana]

其实我觉得不用禁止从交换机接入的用户访问dhcp-server，他们本来就是手动设置的

[micro_cy]

谁想要连接进来的话，还必须要找我才行

1. 這句話 有誤解 只有想連上 172.16.6.229 的才需要蒐集他的 MAC

不想要連上 172.16.6.229 的 可以不知道他的 MAC

这个问题我没能理解清楚，按我之前的转发规则，设置的是192.168.10.x的所有用户都能通过转发上网，而现在我将IPtables的用户限定为指定的IP地址了，如果我不指定固定的IP地址，那么只要用户通过DHCP或者手动设定固定的192.168.10.2-254,网关指向192.168.10.100的用户都可以进行转发上网。所以，我是在想，如果我之前设置的方法是一个网段的话，那么，想使用DHCP绑定一些MAC，只有这些合法的MAC才能转发，这样就需要收集这些MAC，因为DHCP自动配发地址的池也是一个范围192.168.10.2-254，在这个范围内的用户都能上网，DHCPd.cfg里面有限制MAC的方法，可是我又不想因为不同的设备来来回回的想接入这个网络给我自己带来麻烦，所以，这种做MAC限制的办法不太适用我的情况，用户可以手动指定网络为但192.168.10.2-254这个地址，访问本地服务并不限制，但是他自己指定了地址以后，同样可以转发了，所以我就必须想办法限制，而且，我不能开启DHCP的原因是，在这个172的网段里面，我不能影响到其它VLAN的人，如果开启的话，有的人可能就会发现可以自动获取地址，并且可以上网了，这样的话，我就没法管理了，不同的VLAN划分仅仅是在路由端，而下面的交换机全部都是傻瓜式的，也就是说，所有人其实都在一个广播域里面，只是大家都按公司的要求使用固定IP地址，这样才划分出了不同的VLAN，而且，VLAN之前是有路由的。

2. 依你的需求 hub switch 可能都可以 目前價格應該都很便宜

这不是价格便宜不便宜的问题，单位的制度不允许你随意增加设备，你想加个交换机，除了自己掏钱以外，还要冒着违反制度的风险，这个问题就会严重了。

[poloshiao]

单位的制度不允许你随意增加设备

加在你的 DHCP Server 電腦前面的裝置 它們也管嗎
好像你增加一台電腦 接到你的 DHCP Server 他們也要批嗎

我所說的 增加 hub / switch 都是講 接到你的 DHCP Server 的 前面的裝置
好像 你增加 wifi ap / 筆電 / PC / 平板 接到你的 DHCP Server 等等 意思一樣
只有你的 DHCP Server 接到你單位的 switch

你上面還說一次插好幾個網卡到 你單位的 switch ?
那你在 你單位的 switch 前面再加 hub / switch 行嗎
例如
1. 筆電 --> hub A --> switch B --> 你的 DHCP Server --> 你單位的 switch
2. 筆電 --> hub A --> switch B --> 你的 DHCP Server --> switch C --> 你單位的 switch
switch B switch C 只是舉例 不是必要
hub / switch 可以 串連好幾層
hub 功能類似 switch 但是 比 switch 陽春 比 switch 便宜

[micro_cy]

加在你的 DHCP Server 電腦前面的裝置 它們也管嗎

这个server虽然是我管理，但是网络不归我管，我只能利用现有的网络端口进行连接。而且服务器并不在我桌面上。

好像你增加一台電腦 接到你的 DHCP Server 他們也要批嗎

不是挨批，是这个问题很严重，因为这不是你自己的公司，你没有发言权。

我所說的 增加 hub / switch 都是講 接到你的 DHCP Server 的 前面的裝置

好像 你增加 wifi ap / 筆電 / PC / 平板 接到你的 DHCP Server 等等 意思一樣

只有你的 DHCP Server 接到你單位的 switch

这个意思是？我的自己的电脑也在这个switch上面啊，要不然我怎么远程管理啊。

你上面還說一次插好幾個網卡到 你單位的 switch ?

、
什么好几个网卡啊？服务器有两个网口，分别插在两台hub上，只不过，这两台hub之间也是互联的，那不就是在同一个网段上吗。
那你在 你單位的 switch 前面再加 hub / switch 行嗎

我没有在单位的switch前面加hub啊，用的是这个switch下面线，本来是直接连我电脑用的，因为我有个ap，所以就连AP了，电脑使用的是AP的交换端口。


例如
1. 筆電 --> hub A --> switch B --> 你的 DHCP Server --> 你單位的 switch
2. 筆電 --> hub A --> switch B --> 你的 DHCP Server --> switch C --> 你單位的 switch
switch B switch C 只是舉例 不是必要
hub / switch 可以 串連好幾層
hub 功能類似 switch 但是 比 switch 陽春 比 switch 便宜[/quote]
DHCPserver 就是我的ubuntu的服务器，和我的笔记本在同一个网段里面。
以上的例如，我猜你并不专业在网络结构里，因为我已经描述的很清楚了~拓扑也很清晰了，况且，我描述的单位的交换全部都是非二层设备，都在同一个广播域里面。这和串多少没有关系，不管你串在哪里，你都在一个广播域，况且，串联非二层的hub，我印象当中，最多可以串联到4级，而且，网络结构如果复杂的话，串联的网络结构很容易出现故障，丢包，广播风暴等问题。

阳春是什么意思？

感谢你的回复，不过总是解决不了问题，真头疼。我的AP是在我桌子上，不过服务器又没在我桌子上。
双网卡连到同一个网段，也是为了给自己的远程留一条后路，万一一个网段断掉了，还有一个网段能联网过去，但是必须要使用无线的网段，如果需要一个路由图的话，我可以给你画一张。