系统设置——基础设置——上网模式，重大BUG

9622315

昨晚自家搭建环境，研究双线接入——NAT线路与路由线路混合组网，虽结果以失败告终（具体原因，稍后另开贴说明），但发现了爱快一个重大BUG，这个BUG很可能是导致此次试验失败的直接原因。

拓扑描述：
两路由器WAN口互联，路由器#1 LAN口接PC#1，路由器#2 LAN口接PC#2，具体见下图

配置参数：
路由器#1（NAT模式）
WAN IP 10.0.1.2/24，网关 10.0.1.1/24
LAN IP 192.168.2.254/24

路由器#2（路由模式）
WAN IP 10.0.1.1/24，网关 10.0.1.2/24
LAN IP 192.168.1.254/24

PC#1 192.168.2.1

PC#2 192.168.1.7

除此之外没有配置任何其他分流及转发规则，配置好后，所有设备重启，保证所有配置参数与规则生效。

经测试
PC#1可ping通PC#2
PC#2亦可ping通PC#1

分别开ping测试，两PC开启抓包软件，经过抓包确认


当且仅当PC#1 ping PC#2时，
PC#2上抓不到源于PC#1的数据包，由此证明，PC#1 to PC#2是NAT转发，

但是，但是，但是，
在路由器#1上添加了一条NAT过滤规则，规则如下
动作：过滤
线路：WAN1
源地址：192.168.2.1
目的地址：192.168.1.1
状态：启用
但得到的结果与没有添加这条规则是一样的，PC#2依然抓取不到源地址为PC#1的IP数据包


PC#1 ping PC#2，在PC#2上抓包截屏



当且仅当PC#2 ping PC#1时，
在PC#1上可以抓到源于PC#2的数据包，由此证明，PC#2 to PC#1是路由转发，

PC#2 ping PC#1，在PC#1上抓包截屏


由此可知，同一台路由器，同一条线路，两个方向上传输的数据，其转发机制却不相同，这是为啥？这样做合理吗？

补充：经反复测试，发现NAT过滤规则，并不是想象中的，添加即生效，想要让规则生效，我找到2个方法可以做到，
1 如果路由上有空闲接口的话，新绑1个WAN口，并使之处于有效连接的在线状态，然后解除绑定；
2 重启路由器
这算不算，又是一个BUG呢？

秀字营

9622315 发表于 2016-8-22 19:08
按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标 ...

这个以路由表信息说的话， 如果没做静态路由器，肯定找不到NAT下的终端，肯定不通， 但是您的这个拓扑结构，告知路由强制执行数据发送缺省路由表， 这个任何路由环境好像都是可以互通的

deitx

9622315 发表于 2016-8-22 19:08
按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标 ...

你没明白，是拒绝非本地mac以外的内网数据包，如果是它本地mac的内网数据包还是要路由器转换地址后发往内网，不过思科的好像有个功能能让外网nat穿过路由器访问内网

9622315

秀字营 发表于 2016-8-22 16:17
理解没问题，作为数据转发层面来将，在路由#1上不是非正常内网申请，而是接受外网发送数据。 ...

按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标准的NAT防火墙测试一下，默认都是这样的，爱快在NAT模式下，还可以路由转发WAN to LAN的数据包，这的确不太合理。

秀字营

deitx 发表于 2016-8-22 13:38
大哥你这个理解上有问题啊
它net模式的路由器应该挡住所有非本端口建立的链接以外的所有内网访问请求，也 ...

理解没问题，作为数据转发层面来将，在路由#1上不是非正常内网申请，而是接受外网发送数据。

deitx

9622315 发表于 2016-8-22 14:44
问题远没有你想的简单，在双线接入混合组网时（一条线路跑NAT，另一条线路跑路由），问题更多，稍后我发 ...

爱快的路由模式问题，确实不能立即生效
还有路由模式看不到路由表确实别扭啊:lol

9622315

deitx 发表于 2016-8-22 14:42
恩，爱快的路由模式问题，确实nat转发有问题不是立即起效，同时线路检测也是失败的，但是确实路由通了，这 ...

问题远没有你想的简单，在双线接入混合组网时（一条线路跑NAT，另一条线路跑路由），问题更多，稍后我发测试报告。

deitx

恩，爱快的路由模式问题，确实nat转发有问题不是立即起效，同时线路检测也是失败的，但是确实路由通了，这个希望爱快能尽快修复吧，毕竟路由模式很重要，如果我这里要链接两个不同的局域网又没有三层交换机确实需要路由器支持路由模式，还是爱快出个直接就是路由模式的版本，不用设置是路由模式还是nat模式:funk:

9622315

deitx 发表于 2016-8-22 13:45
ros没啥问题的，给我理解ros就跟爱快的路由模式一样

我当然知道ROS肯定是没问题的，现在讨论的是爱快，稍后我就发爱快的测试报告。

deitx

9622315 发表于 2016-8-22 13:27
你理解错了，这个不是我说的混合组网，我说的混合组网，是路由器#1上，两个WAN口，一条线路做路由转发，另 ...

ros没啥问题的，给我理解ros就跟爱快的路由模式一样:lol

deitx

秀字营 发表于 2016-8-22 12:00
因为路由#2是路由模式， 路由#2会把PC2的携带目的IP2.1的数据信息通过缺省路由发送给路由#1.
路由#1会接受 ...

大哥你这个理解上有问题啊
它net模式的路由器应该挡住所有非本端口建立的链接以外的所有内网访问请求，也就是非本地mac发出的内网请求都丢弃，否则外网过来的内网访问请求是不是查询路由表后都转发呢，这样跟路由模式没啥区别了。
:lol也就是楼主这么玩应该是pc1能ping通pc2，而pc2 ping不通pc1，除非添加静态路由
所以net模式还是有问题的。应该添加有个控制wan口是否接受非lan口mac过来的内网地址数据包
不过不是啥大事，有访问控制列表，可以自己添加访问规则