问题[route](unix)

echo "200 rj45" >> /etc/iproute2/rt_tables
echo "201 WIFI" >> /etc/iproute2/rt_tables
ip route add default via 192.168.5.9 dev eth0
ip rule add from 192.168.5.8/24 table rj45
ip rule add from 192.168.61.128/24 table WIFI
ip route add default via 192.168.5.9 dev eth0 table rj45
ip route add default via 192.168.61.38 dev wlan0 table WIFI
iptables -t nat -A POSTROUTING -s 10.196.0.0/16 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.196.0.0/16 -o wlan0 -j MASQUERADE
ip route flush cache

你好。上述命令是在 Linux 服务器 1 启动时输入的。

在Linux服务器1中，有3个接口。 2个接口是WAN接口，eth0具有192.168.5.8/24 IP，wlan0 具有192.168.61.128/24 IP。另一个接口是LAN ，IP为10.196.3.254/16。

Linux 服务器 1 eth0通过IP 192.168.5.9/24连接到Linux 服务器 2 eth0。

上述策略路由命令是针对Linux策略路由实现的。默认路由是 rj45，但在某些情况下默认路由更改为 WIFI。

当以下 NAT iptables 命令不生效时，我遇到问题，特别是使用命令ip Rule add from 192.168.5.8/24 table rj45。当客户端IP 10.196.3.253/16 ping 192.168.5.9时，这是Linux Server 1 eth0的子网。 如果10.196.3.253 ping 192.168.3.9哪个Linux服务器2别名IP，就可以ping通。

Linux 服务器 2 上的 tcpdump -i eth0 icmp 显示它尝试回复 10.196.3.253 的 icmp ping，这意味着 ICMP ping 很可能不是 NAT。下面是输出

12:31:14.519000 IP 192.168.5.8 > 192.168.5.9: ICMP echo request, id 4213, seq 155, length 64
12:31:14.519018 IP 192.168.5.9 > 192.168.5.8: ICMP echo reply, id 4213, seq 155, length 64
12:31:14.520018 IP 192.168.5.9 > 10.196.3.253: ICMP echo reply, id 4213, seq 155, length 64

知道为什么 NAT 在此设置中不起作用吗？为了清晰起见，下面是网络图。

这些是我ip route的，

default via 172.16.42.1 dev ens5 proto dhcp src 172.16.42.248 metric 100 
default via 172.16.42.1 dev ens3 proto dhcp src 172.16.42.79 metric 100 
default via 10.2.64.1 dev ens4 proto dhcp src 10.2.69.64 metric 100

我使用ip route replace的目的是降低指标并提高优先级，就像这样，

sudo ip route replace default via 10.2.64.1 dev ens4 metric 90

但是，这并没有取代路线，而是添加了路线，现在我有了，

default via 10.2.64.1 dev ens4 metric 90 
default via 172.16.42.1 dev ens5 proto dhcp src 172.16.42.248 metric 100 
default via 172.16.42.1 dev ens3 proto dhcp src 172.16.42.79 metric 100 
default via 10.2.64.1 dev ens4 proto dhcp src 10.2.69.64 metric 100

反正有没有改变这条线上的指标，

default via 10.2.64.1 dev ens4 proto dhcp src 10.2.69.64 metric 100

不添加新路线？

当我跑的时候ip route，我看到

default via 172.16.42.1 dev ens5 proto dhcp src 172.16.42.248 metric 100 
default via 172.16.42.1 dev ens3 proto dhcp src 172.16.42.79 metric 100 
default via 10.2.64.1 dev ens4 proto dhcp src 10.2.69.64 metric 100

所有这些都metric设置为100. 这在哪里记录，什么是现代语法 to ip(not ifconfigor route) 用于仅更改指标？我没有看到metric记录在man ip route

我建立了一个服务器（vps），它扮演我的网关角色。我的整个个人网络都通过wireguard 连接在后面。每个想法都很好，我或多或少地遵循https://openbsdrouterguide.net和 pf 文档。

我现在的问题是：我希望我的网关使用wireguard通过protonvpn与互联网（我的个人网络除外）通信。我在其上构建了一个新的 wg 界面，带有质子配置，它显然运行良好。但我不知道如何在外出之前通过质子接口（wg1）将我的私人局域网（wg0）的传出流量（到互联网）传递。

是路由问题还是 pf 规则的东西？

如果您能给我一些提示，请提前致谢。

• iptables. 我浏览了 Iptables 的手册并了解了一些基本概念，例如链、表、钩子、规则和目标。在 Linux 生态系统中，iptables 是一个广泛使用的防火墙工具，它与内核的 netfilter 包过滤框架接口。

• route table. 在 Linux 中，还有另一个表route table。

我试图弄清楚它们之间的关系并将它们放在一张大图中。

这是一个很好的图表来显示 iptables 的流程，有两个route阶段。在哪一步，内核会利用“路由表”吗？

参考

1. DigitalOcean：深入了解 Iptables 和 Netfilter 架构
2. 我读过这个问题“ StackOverflow：iptables vs route 有什么区别？ ”，但它没有回答我的问题。

使用时，netplan generate我不断收到错误消息：

gateway4已弃用，请改用默认路由。

对于 netplan 中的静态 IP 地址分配，我一直使用以下结构：

network:
  version: 2
  renderer: networkd
  ethernets:
    eno1:
      dhcp4: false
      dhcp6: false
     addresses:
      - 192.168.10.10/24
     gateway4: 192.168.10.1
     nameservers:
      addresses: [192.168.10.1]

显然gateway4是引用gateway4: 192.168.10.1，但我们如何修复它？

我在 192.168.0.11 有一个接口 enp7s0。

我的路由器是 192.168.0.1。

我的路由表是

Ziel            Router          Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.0.1     0.0.0.0         UG    100    0        0 enp7s0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 enp7s0
192.168.0.0     0.0.0.0         255.255.255.0   U     100    0        0 enp7s0

一切正常。我没有设置 iptalbes。

现在我尝试重置我的路由表并再次设置默认gw。

ip route flush table main
route add default gw 192.168.0.1

冲洗没问题。但添加失败。

SIOCADDRT: network is unreachable

这里有什么问题？？

我知道从 server.conf 我可以做到这一点：

push "route 192.168.20.0 255.255.255.0"

但是，有没有办法动态推送路由？我有一个 API 调用，它返回 vpn 客户端需要的所有路由，所以如果发生某些路由更改，客户端将重新启动 vpn 连接，它将拥有新的路由。这可能吗？如何？我想从服务器端管理这个。

我知道如何将默认 gw 分配给具有 IP 的接口

ip route add default via <host> dev <dev>
# e.g.
ip route add default via 192.168.0.101 dev eth0

问题是我的场景中eht0的IP是外部管理的。因此，如果更改 eth0 的 IP，前面的命令将不起作用。

有没有一种简单的方法可以将接口分配为默认 gw，而与它拥有的 IP 无关？

• 注意：开机时界面不UP。
• 注 2：我的接口是 3g 调制解调器，因此在我请求连接之前我也不知道网关 IP。

$ /sbin/route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.122.1   0.0.0.0         UG    0      0        0 ens3
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 ens3

$ /sbin/ifconfig
ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.122.202  netmask 255.255.255.0  broadcast 192.168.122.255
        inet6 fe80::5054:ff:fe99:5eee  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:99:5e:ee  txqueuelen 1000  (Ethernet)
        RX packets 14906  bytes 18020195 (17.1 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 7390  bytes 786783 (768.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 35568

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1  (Local Loopback)
        RX packets 496  bytes 39840 (38.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 496  bytes 39840 (38.9 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

当一个数据包到达主机并且该数据包的目的地是环回地址（127.0.0.1）时，

• 根据路由表中的第一条规则，它会被传输到 ens3（192.168.122.202）然后到网关（192.168.122.1）吗？

• 如果是，那是不是错了，因为预期的目的地（127.0.0.1）在本地主机中？

当目标地址是环回地址时，真的没有路由条目吗？

谢谢。