У меня есть требование к PAT два разных общедоступных IP-адреса [один и тот же порт] на один локальный IP-адрес [VIP] балансировщика нагрузки в разных портах с использованием Cisco FWSM.
Пример:
static(LB,outside) 10.0.0.1 www 192.168.100.1 8282 mask 255.255.255.255
static(LB,outside) 10.0.0.2 www 192.168.100.1 9292 mask 255.255.255.255
Возможно ли вышеуказанное или доступно другое подходящее решение?
Технически да. Предположим, вы используете iptables, правила, применяемые к устройству с двумя общедоступными IP-адресами, выглядят следующим образом:
iptables -t nat -A PREROUTING -i $WAN_INTERFACE -d $IP_1 -p tcp --dport $PORT_1 -j DNAT --dnat-to $LOAD_BALANCER_IP:$LOAD_BALANCER_PORT_1
Итак, да, то, что вы хотите сделать, это просто DNAT, основанный на порте назначения (и обязательно протоколе - укажите TCP или UDP или создайте два правила, как правило), а также на входящем интерфейсе и IP-адресе назначения. Любое устройство, поддерживающее DNAT, должно иметь возможность принимать эти предикаты и DNAT для определенного IP-адреса и порта.
С вашим устройством cisco FWSM правило для вашего контекста будет выглядеть так:
static (inside,outside) tcp <WAN IP 1> <WAN port> <load balancer IP> <load balancer port 1> netmask 255.255.255.255