Маршрутизация между 3 интерфейсами в 3 отдельных сетях

Пролог

Приветствую вас сетевые инженеры! Буду признателен за вашу помощь в следующем сценарии. Я провел небольшое исследование и нашел только два решения. И так как один из них мне не подходит, мне нужна ваша помощь со вторым.

Окружающая среда

Всего у меня 2 устройства с 3 интерфейсами. Каждый интерфейс находится в разных VLAN. Вот обзор:

Name: DevA
Type: Red Hat Enterprise Linux (v7)
Interface #1: eth0
Interface #1: xxx.xxx.215.222

Name: DevB
Type: MikroTik RouterOS v6.42
Interface #1: ether1
Interface #1: zzz.zzz.214.128
Interface #2: ether2
Interface #2: yyy.yyy.216.92

А вот и подробности:

Каждый из 3 интерфейсов имеет общедоступный статический IP-адрес.
Каждый из 3 интерфейсов имеет доступ к Интернету.
На DevA работают службы (например, на портах 666 и 999).

Цель

DevB доступен из Интернета только на ether1.
Устройства DevA и DevB обмениваются данными друг с другом только через выделенные интерфейсы (eth0 и эфир2).
Сервисы на DevA доступны только через DevB, а не напрямую из Интернета.
Если DevA хочет получить доступ к чему-то в Интернете (например, к обновлениям), это должно быть доступно напрямую. Означает, что если DevA инициирует соединение, оно идет напрямую в Интернет.
Сервисы на DevA должны быть доступны для публики с помощью DevB. ether1 IP-адрес (если возможно).
VPN между DevA и DevB есть не допускается. Это решение, о котором я упоминал ранее, и которое не подходит в данном сценарии. Я буду рассматривать это только в том случае, если не будет другого варианта.

Что у меня уже есть

DevA - Конфигурация межсетевого экрана

- allow all outgoing traffic on eth0
- allow all incoming traffic from ether2 to eth0
- allow all related and established connections
- drop everything else

DevA - конфигурация маршрутизации

dst-address          pref-src            gateway           distance
0.0.0.0/0                                xxx.xxx.215.1     1
xxx.xxx.215.0/24     xxx.xxx.215.222     eth0              0

DevB - Конфигурация межсетевого экрана

- allow all outgoing traffic on ether1 and ether2
- allow incoming traffic on ether1 for ports 666 and 999 
- allow all incoming traffic from eth0 to ether2
- allow all related and established connections
- drop everything else

DevB - Конфигурация маршрутизации

dst-address          pref-src            gateway           distance
0.0.0.0/0                                zzz.zzz.214.1     1
zzz.zzz.214.0/24     zzz.zzz.214.128     ether1            0
xxx.xxx.215.0/24                         yyy.yyy.216.1     1
yyy.yyy.216.0/24     yyy.yyy.216.92      ether2            0

Итак, вы можете помочь мне решить эту головоломку?

Я ожидаю, что больше маршрутов нужно настроить на DevB (может быть, NAT / masquerade тоже?) И, вероятно, на DevA тоже. Любые идеи? Если я что-то забыл упомянуть, просто спроси ..

Большое спасибо.

Вы должны написать правило DNAT для перенаправления трафика из DevB в DevA, а также неплохо написать SNAT / MASQUERADE в DevB, чтобы перенаправленный трафик возвращался обратно в DevB, а затем в Интернет. как это:

DNAT:

 ip firewall nat add chain=prerouting protocol=tcp dst-address=zzz.zzz.214.128 dst-port=666,999 action=dst-nat to-addresses=xxx.xxx.215.222

SNAT:

ip firewall nat add chain=srcnat dst-address=xxx.xxx.215.222 action=masquerade

Кстати, было бы разумно поместить 2 интерфейса, которые должны быть подключены друг к другу на устройствах, в один и тот же Vlan и использовать недопустимые IP-адреса, чтобы заставить их общаться друг с другом. (Если возможно!)