仮想化ホスト(プロクスモックス) は、パブリックサービスを提供する複数の VM を実行しています。ファイアウォールアプライアンス (オプセンス) を使用してトラフィックをフィルタリングします。これは、パブリック IP が VM の仮想ネットワーク インターフェイスに直接バインドされているルーティングされたサブネットでは正常に機能します。ポートやソースなどに基づいてトラフィックをフィルタリングするファイアウォール ルールを設定できます。
サーバーの1つでは、ルーティングされたサブネットの一部ではない、ホスティングプロバイダーから1つの追加のパブリックIPアドレスを取得しました。仮想MACアドレス(仮想的には物理NICにバインドされていない) そして、この MAC アドレスを持つ VM 用の仮想ネットワーク カードを作成し、パブリック ブリッジに接続されている VM にこの IP を直接割り当てることができます。
ファイアウォールアプライアンスでトラフィックをフィルタリングしたいので、ファイアウォールVMに追加の仮想NICを割り当てました。サービスを提供するVMは、ローカル/ルーティングされていないIPアドレスを持ち、無線LANファイアウォールVMの背後にあるポート。これで宛先NATVM への受信トラフィックの特定のポートをマップするルール。
私の理解では、これには次のことを付け加える必要がある。ソースNATこの VM からの送信トラフィックが正しいパブリック IP アドレスをソースとして取得するようにするためのルール。これは正しいですか?
これが最善の方法なのか、それとももっと透明性が高く、面倒な手続きをしなくて済む方法があるのだろうか?DNATルールと、追加のパブリック IP に向かうすべてのトラフィックは、1:1 で VM に送信されます。もちろん、ルール ベースのフィルタリングを実行できることは依然として必須です。