在Linux下基于路由策略的IP地址控制

一、背景描述 　　如图，LINUX是一台网关服务器，内有3块网卡 　　eth1绑定172.17.0.0/16的IP，该网段IP可以通过172.17.1.1网络”的权限 　　也就是说，应该走192.168.10.1这个路由 　　另外一点，所有人应该可以访问FTP服务器，这个服务器的IP是192.168.10.96 　　也就是说，走172.17.1.1路由的人，也应该能访问192.168.10.96，且可以上网。 　　三、解决方案 　　要解决这个问题，用到了一下几个命令，具体代码:
　　# 　　# reserved values 　　# 　　255   local 　　254   main 　　253   default 　　0     unspec 　　 　　200   NET10 　　# 　　# local 　　# 　　#1     inr.ruhep 　　上面那个200 NET10为新添加，自定义编号为200，名字为NET10 　　3、向NET10路由中添加它自己的默认路由 　　代码: 　　ip route add default via 192.168.10.1 table NET10 　　注意，这个table NET10一定不要忘了写，否则写到了主路由表中。 　　4、创建特殊路由规则 　　用ip rule可以看到地址为192.168.1.222的访问，则启用NET10的路由表中的路由规则。 　　而NET10的路由规则是什么呢？上面已经设置了，走的是192.168.10.1的网段。 　　接下来，使LINUX可以NAT（这里不再细说HOW TO了）。 　　5、让所有人可以访问192.168.10.xx（这个IP不便说出来） 　　因为其余人都走了172.17.1.1这个路由，所以他们是无法访问192.168.10.xx的。 　　怎么才能实现呢？再添加个问题呢？路由变了，他们会不会访问到专用网络呢？ 　　不会的，因为路由规则是to 192.168.10.xx，也就是目标是96时，才该路由的，访问别的网站还是走原来的路由。 　　如果说访问到专用网络的机器，也就只有10.xx这一台而已。 　　这里，我们还可以做一个小主机IP地址本身，所以从2循环到254（255是广播） 　　其次，生成一个C的IP地址和全为00的MAC地址 　　代码:
　　./iproute > /etc/ethers
　　再次，修改IP－MAC匹配列表 　　vi /etc/ethers 　　具体怎么该我就不用细说了，相信大家都会 　　最后，做静态IP-MAC绑定 　　arp -f 　　7、为了安全，建立防火墙，修改main路由表 　　默认的路由表应该有192.168.10.0/24和172.17.0.0/16网段的内容，为了安全，可以去掉。 　　另外，如果是AS3的话，还会有169.254.0.0/16的路由，具体为什么我不知道，去掉。 　　然后写一个防火墙脚本，利用iptables，把你的机器变得更加坚固！