Ich habe ein kommerzielles Kabelmodem mit Tomato 1.28 von Shibby. Es hat derzeit eine statische IP-Adresse, die über DHCP zugewiesen wurde, und funktioniert einwandfrei. Mir wurden einige zusätzliche routbare IPs zugewiesen, aber sie befinden sich in einem anderen Subnetz.
**WAN**
addr:1.2.3.10 Bcast:1.2.3.255 Mask:255.255.255.0
**LAN**
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
**Additional WAN block info:**
Network: 2.2.3.120/29
Subnet Mask: 255.255.255.248
Start: 2.2.2.121
End: 2.2.2.126
Ich habe vor, die neuen 5 Adressen den 192.168.1.x-Hosts zuzuweisen und sie dann den öffentlichen Adressen zuzuordnen.
**LAN** **WAN**
192.168.1.121 -> 2.2.2.121
192.168.1.122 -> 2.2.2.122
...
192.168.1.126 -> 2.2.2.126
Sollte dies mit Firewall-Regeln oder statischen Routen erfolgen?
Anweisungen vom ISP: ...Sie haben angegeben, dass Sie Ihren zusätzlichen Block routen werden. Hier ist ein grundlegendes Beispiel dafür, was mit Ihrer Ausrüstung gemacht werden muss
Routing: Sie müssen eine IP von diesem Block zu einer INTERNEN Schnittstelle konfigurieren. Ich würde vorschlagen, die erste nutzbare IP 2.2.2.121 zu verwenden. Diese IP fungiert dann als Gateway für den Subnetzverkehr.
Antwort1
Sollte dies mit Firewall-Regeln oder statischen Routen erfolgen?
Wenn Sie mit statischen Routen meinenDie Suite von iproute2, dann haben Sie Recht, es ist in beide Richtungen möglich und ich konnte bisher keinen Leistungsunterschied feststellen.
Eine Netzwerkkarte akzeptiert UNICAST-Verkehr nur unter zwei Umständen:
Es hat die IP-Adresse, an die der UNICAST-Verkehr geleitet wird;
Es befindet sich im Promiscuous-Modus.
Der Promiscuous-Modus gilt als Sicherheitsrisiko. Daher sollten Sie den neuen Satz öffentlicher IP-Adressen dem WAN-Port Ihres Routers zuweisen.
NETZFILTERMöglichkeit
Sie können den gesamten Verkehr auf den entsprechenden PC umleiten, indem Sie diese einzelneiptablesBefehl:
iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121
aber das lässt eine kleine Lücke: Netfilter NATnichtveranlassen Sie den Kernel, ARP-Anfragen für die NATted-IP zu beantworten,siehe hierIch schlage daher vor, dass Sie die folgenden zwei Weiterleitungen verwenden:
iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121
Dadurch wird der Nicht-TCP/UDP-Verkehr nicht umgeleitet, sodass der ICMP/ARP-Verkehr den Kernel des Routers erreicht, der entsprechend reagiert.
Gleiches gilt für Ihre anderen IPs und Server.
iproute2Möglichkeit
Auf diese Weise berühren Sie nichtiptables überhaupt und ARP-Verkehr wird korrekt berücksichtigt. Die auszugebenden Befehle sind:
ip route add nat 2.2.2.121 via 192.168.1.121
ip rule add nat 2.2.2.121 from 192.168.1.121
Die erste Regel gilt für eingehenden Verkehr, die zweite für ausgehenden Verkehr. Die erste Regel leitet den Verkehr auf Ihren lokalen Server um, indem sie die Zieladresse umschreibt. Die zweite Regel schreibt die Quelladresse um, sodass es aussieht, als käme die Antwort von der öffentlichen IP 2.2.2.121 statt von der lokalen IP 192.168.1.121.
Viel Spaß. Und übrigens,
Es hat derzeit eine statische IP-Adresse, die über DHCP zugewiesen wurde, und funktioniert einwandfrei
Was bedeutet das???