Я пытаюсь настроить систему для NAT и других iptables-вещей (например, ведения журнала, брандмауэра, мониторинга и т. Д.). Интернет-провайдер предоставляет динамический IP-адрес, а модем DSL выполняет NAT.
У меня следующая конфигурация для малого бизнеса:
192.168.1.1 |-----------|
----------------------| |
| SWITCH 1 |
192.168.1.2 | |
----------------------| |
| |
192.168.1.3 | |
----------------------| |
|-----------|
|
| 192.168.1.4
|
|--------------|
| Dual NIC |
| IPTABLES m/c | NAT
|--------------|
|
|
|192.168.2.2
|
|--------------| 192.168.2.1 |----------------|
| SWITCH 2 | ------------|DSL Modem NAT |
|--------------| |----------------|
Мои цели - контролировать, что может делать каждый узел в локальной сети 192.168.1.x, записи в журнале и т. Д. Машина IPTABLES будет делать намного больше, чем то, что может Iptables CLI ... Ожидается некоторый интерфейс C для библиотеки libnetfilter_queue поскольку нам нужно сделать некоторый индивидуальный мониторинг и ведение журнала.
У меня нет статического общедоступного IP-адреса. Итак, мне нужно полагаться на NAT, встроенный в DSL. Фактически я получу два последовательных NAT. Один SNAT через IPTables с источником изменен на 192.168.2.2. Второй - это тот, который модем DSL будет делать, чтобы изменить исходный IP-адрес с 192.168.2.2 на любой публичный IP-адрес в Интернете, назначенный в то время.
Я думаю, что должен быть лучший подход. Что это? Или я совсем сбился с пути?