У меня есть Linux, который я использую как маршрутизатор. WAN-соединение коробки на самом деле является другой LAN (основной LAN). Я пытаюсь использовать свой ящик / маршрутизатор для создания другой локальной сети (вторичной локальной сети). Назначение вторичной LAN - изолировать часть сети от первичной LAN. Когда я говорю изолировать, я имею в виду, что любые протоколы сетевого обнаружения (bonjour, любые окна, которые используются, и все остальное, что использует широковещательный адрес) не будут выходить за пределы вторичной LAN, и любой трафик между устройствами во вторичной LAN никогда не будет проходить в первичную. LAN. Основная проблема заключается в том, что мне нужен NAT «один к одному» между первичной и вторичной LAN, также таким образом, чтобы MAC-адреса проходили через NAT.
В идеале у меня было бы три списка MAC-адресов. Устройства в первом списке будут обрабатываться, как описано выше. Устройства из второго списка не смогут подключаться к чему-либо за пределами дополнительной локальной сети (моего принтера). Устройства в третьем списке будут фактически только в основной LAN (как если бы они были подключены напрямую и только к одному и тому же порту WAN).
1) Как мне создать однозначный NAT?
2) Как мне передать MAC-адреса через этот NAT?
3) (Менее важно) Как настроить разные правила маршрутизации в зависимости от MAC-адреса, как описано во втором абзаце?
Приносим извинения за то, что не ответили на вопрос прямо и, возможно, научили вас сосать яйца.
Я знаю, что вы сказали, что это эксперимент, но для повседневной жизни это звучит не очень хорошо. Я также не понимаю, что вы имеете в виду под «прохождением MAC-адреса через NAT». Похоже, вы взламываете уровень 3, чтобы контролировать уровень 2.
Вместо этого для достижения своих «зон безопасности» вы можете легко создать три подсети: 192.168.1.0/24, 192.168.2.0/24 и 192.168.3.0/24. Они могут работать на одном и том же физическом оборудовании Ethernet. Используйте свой Linux-сервер для маршрутизации между подсетями и трафиком межсетевого экрана по мере необходимости.
Вы можете реализовать некоторый уровень разделения на уровне 2, используя сети VLAN, созданные на коммутаторе или с помощью тегов VLAN.