Назад | Перейти на главную страницу

Разделение подсети и ее маршрутизация на брандмауэре iptables с двумя интерфейсами

У меня брандмауэр Linux iptables с двумя интерфейсами. В настоящее время у меня есть несколько серверов в частной сети 192.168.0.x. В настоящее время в брандмауэре каждый IP-адрес настроен локально и используется NAT для переадресации портов на соответствующий сервер, например:

208.80.x.130: 80 -> 192.168.0.130:80

Мои интерфейсы выглядят примерно так:

vlan1      Link encap:Ethernet  HWaddr 20:20:30:87:20:30
           inet addr:208.80.x.129  Bcast:208.80.x.159  Mask:255.255.255.224
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:1140818 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1108086 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:462146250 (440.7 MiB)  TX bytes:590006065 (562.6 MiB)

vlan1:0    Link encap:Ethernet  HWaddr 20:20:30:87:20:30
           inet addr:208.80.x.130  Bcast:208.80.x.255  Mask:255.255.255.224
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

br0        Link encap:Ethernet  HWaddr 20:CF:30:87:EC:2F
           inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:1120674 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1105443 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:570011808 (543.6 MiB)  TX bytes:469174153 (447.4 MiB)

У меня / 27 IP-адресов; 208.80.x.129-157 шлюз 208.80.x.158. Я хотел бы выделить небольшую подсеть в верхнем конце этого диапазона, например / 29. В настоящее время я использую ip 129-141, поэтому я не хочу их трогать. Моя цель - иметь небольшой vlan маршрутизируемых адресов в дополнение к natted адресам, которые я сейчас обслуживаю.

    internets
       |
 208.80.x.158
  isp router
       |
 208.80.x.129-147
    firewall
     --+-------------------
     |                    |
192.168.0.x      208.80.x.148-156

Как мне этого добиться?

Это невозможно с текущим IP-адресом, предоставленным вашим интернет-провайдером.

  1. Сначала спросите своего интернет-провайдера о новом блоке маршрутизации. Это может быть просто / 30.

  2. Поместите IP-адрес маршрутизации на интерфейс vlan1.

  3. Поместите пул IP-адресов NAT (от .129 до 147) в вашу петлевую проверку, чтобы ваши существующие правила PREROUTING NAT продолжали работать.

  4. Ставим 208.80.x.149 / 29 на br0. Если вы хотите, чтобы это было полностью изолировано от вашей существующей LAN как DMZ, вы можете создать для этого новую VLAN.

Я делал это много раз, и это отлично работает.

Я добился этого, разделив подсеть на две части и попросив своего провайдера переместить его IP-адрес шлюза на адрес в первой подсети. Ставлю все первые IP-адреса подсети на внешний интерфейс. На данный момент первая (natted) подсеть запущена и работает. Затем я попросил своего провайдера установить статический маршрут для второй подсети на внешний IP-адрес моего маршрутизатора. Я добавил интерфейс vlan с ip во вторую подсеть. На данный момент вторая (маршрутизируемая) сеть запущена и работает.