Мой провайдер предоставил мне сеть / 30. Позже, когда мне понадобилось больше публичных IP-адресов, я запросил сеть / 29. Мне сказали продолжать использовать мою предыдущую сеть / 30 на интерфейсе, обращенном к интернет-провайдеру, а новую сеть / 29 следует использовать на другом интерфейсе, который подключается к моему маршрутизатору NAT и серверам.
Вот что я получил от isp:
WAN IP: 179.xxx.4.128/30
CUSTOMER IP : 179.xxx.4.130
ISP GATEWAY IP:179.xxx.4.129
SUBNET : 255.255.255.252
LAN IPS: 179.xxx.139.224/29
GATEWAY IP :179.xxx.139.225
SUBNET : 255.255.255.248
У меня есть компьютер Ubuntu с двумя интерфейсами. Итак, я планирую сделать следующее:
eth0 will be given 179.xxx.4.130/30 gateway 179.xxx.4.129
eth1 will be given 179.xxx.139.225/29
И у меня будет в /etc/sysctl.conf:
net.ipv4.ip_forward=1
Это будут правила iptables:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Мои клиенты с ips 179.xxx.139.226/29 и 179.xxx.139.227/29 будет использоваться 179.xxx.139.225/29 как шлюз.
Подойдет ли мне эта конфигурация? Любые комментарии? Если это сработает, какие правила iptables я могу использовать, чтобы немного повысить безопасность?
P.S. Обе сети не являются частными и в них нет NAT.
Я не очень понимаю, как это настроено / как вы думаете, это будет работать («который подключается к моему маршрутизатору NAT .... NAT не используется»).
Но насколько я могу судить, это, скорее всего, сломается странным и эзотерическим образом.
Представьте, что внешний клиент подключается к 179.xxx.139.225, но ответ может прийти от 179.xxx.4.129 - вы, конечно, не сможете запустить какой-либо межсетевой экран с отслеживанием состояния.
Хотя вполне возможно настроить Linux для обработки маршрутизации разумно было бы намного проще разделить сеть на 2 маршрутизатора, даже если один из них - виртуальная машина.
Помимо конфигурации iptables, о которой я понятия не имею, я думаю, она подойдет вам, но вы не должны забывать о таблице маршрутизации системы Linux, чтобы по умолчанию использовать этику.