Ответ на мой вопрос может быть не так уж и сложен, но в любом случае я не знаю, что делать.
Итак, я только что устроился на новую работу в университет, и я обнаружил, что сеть (LAN) заполнена общедоступными IP-адресами. Серьезно, вся локальная сеть (вероятно, более 150 хостов) имеет собственный IP-адрес в Интернете, и я не знаю, как им управлять.
У меня очень хороший опыт использования iptables (брандмауэра Linux) в среде NAT. Но тогда как мне действовать в среде, где вся моя локальная сеть работает с множеством общедоступных IP-адресов? Должен ли я просто использовать правила «пересылки» и игнорировать правила NAT или есть какие-то другие проблемы в такой среде, о которых я должен позаботиться?
Могу ли я добавить межсетевой экран между маршрутизатором и локальной сетью, чтобы производить фильтрацию пакетов для этих общедоступных IP-адресов в моей локальной сети, или это просто не сработает?
Спасибо!
Без NAT все намного проще. Если у вас есть опыт работы с iptables, все должно быть просто: (я использовал 1.2.3.0/24 в качестве вашей локальной сети). Просто используйте таблицу FORWARD.
разрешить необходимые службы (если у вас есть веб-сервер, разрешите порт 80 с IP-адресом назначения вашего веб-сервера) (-d 1.2.3.4 -p tcp --dport 80, ... если вы не устанавливаете источник -s, это означает любой источник ip)
брось все остальное
например:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 1.2.3.0/24 -j ACCEPT #allow everything out
iptables -A FORWARD -d 1.2.3.4 -p tcp --dport 80 -j ACCEPT #webserver
iptables -A FORWARD -d 1.2.3.0/24 -j DROP