私は、shibby の Tomato 1.28 を実行している市販のケーブル モデムを持っています。現在、DHCP 経由で割り当てられた静的 IP アドレスがあり、正常に動作しています。ルーティング可能な追加の IP もいくつか割り当てられましたが、それらは別のサブネットにあります。
**WAN**
addr:1.2.3.10 Bcast:1.2.3.255 Mask:255.255.255.0
**LAN**
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
**Additional WAN block info:**
Network: 2.2.3.120/29
Subnet Mask: 255.255.255.248
Start: 2.2.2.121
End: 2.2.2.126
新しい 5 つのアドレスを 192.168.1.x ホストに割り当て、それらをパブリック アドレスにマッピングする予定です。
**LAN** **WAN**
192.168.1.121 -> 2.2.2.121
192.168.1.122 -> 2.2.2.122
...
192.168.1.126 -> 2.2.2.126
これはファイアウォール ルールまたは静的ルートを使用して実行する必要がありますか?
ISPからの指示: ...追加ブロックをルーティングするとおっしゃっていましたが、これは機器に対して行う必要がある基本的な例です。
ルーティング: このブロックから内部インターフェースへの IP を設定する必要があります。使用可能な最初の IP 2.2.2.121 を使用することをお勧めします。この IP は、サブネット トラフィックのゲートウェイとして機能します。
答え1
これはファイアウォール ルールまたは静的ルートを使用して実行する必要がありますか?
静的ルートとは、iproute2 スイート、おっしゃる通り、どちらの方法でも実行できますが、これまでのところパフォーマンスの違いは認識できていません。
NIC は、次の 2 つの状況でのみ UNICAST トラフィックを受け入れます。
UNICAST トラフィックが送信される IP アドレスを持ちます。
乱交モードです。
プロミスキャス モードはセキュリティ上の危険と見なされます。したがって、新しいパブリック IP アドレス セットをルーターの WAN ポートに割り当てる必要があります。
ネットフィルターオプション
この単一の方法ですべてのトラフィックを適切なPCにリダイレクトできますiptables指示:
iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121
しかし、これには小さな穴が残ります。netfilter NATはないカーネルがNATされたIPのARP要求に応答するようにする。こちらをご覧くださいしたがって、次の 2 つのリダイレクトを使用することをお勧めします。
iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121
これにより、TCP/UDP 以外のトラフィックは再ルーティングされないため、ICMP/ARP トラフィックがルーターのカーネルに到達し、それに応じて動作します。
他の IP やサーバーについても同様です。
iproute2オプション
こうすれば、触れずにiptables ARP トラフィックは正しく考慮されます。発行するコマンドは次のとおりです。
ip route add nat 2.2.2.121 via 192.168.1.121
ip rule add nat 2.2.2.121 from 192.168.1.121
最初のルールは INBOUND トラフィックに適用され、2 番目のルールは OUTBOUND トラフィックに適用されます。最初のルールは、宛先アドレスを書き換えてトラフィックをローカル サーバーにリダイレクトします。2 番目のルールは、送信元アドレスを書き換えて、応答がローカル IP 192.168.1.121 ではなくパブリック IP 2.2.2.121 から送信されているように見せます。
お楽しみください。ところで、
現在、DHCP経由で静的IPアドレスが割り当てられており、正常に動作しています。
これはどういう意味ですか???