Mein ISP hatte mir ein /30-Netzwerk gegeben. Später, als ich mehr öffentliche IPs wollte, forderte ich ein /29-Netzwerk an. Mir wurde gesagt, ich solle mein bisheriges /30-Netzwerk auf der Schnittstelle, die zum ISP zeigt, weiter verwenden und das neu zugewiesene /29-Netzwerk solle auf der anderen Schnittstelle verwendet werden, die mit meinem NAT-Router und meinen Servern verbunden ist.
Das habe ich vom ISP bekommen:
WAN IP: 179.xxx.4.128/30
CUSTOMER IP : 179.xxx.4.130
ISP GATEWAY IP:179.xxx.4.129
SUBNET : 255.255.255.252
LAN IPS: 179.xxx.139.224/29
GATEWAY IP :179.xxx.139.225
SUBNET : 255.255.255.248
Ich habe einen Ubuntu-PC mit zwei Schnittstellen. Ich habe also folgendes vor:
eth0 will be given 179.xxx.4.130/30 gateway 179.xxx.4.129
eth1 will be given 179.xxx.139.225/29
Und ich werde Folgendes darin haben /etc/sysctl.conf:
net.ipv4.ip_forward=1
Dies sind die iptables-Regeln:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
Meine Clients haben die IPs 179.xxx.139.226/29und 179.xxx.139.227/29werden 179.xxx.139.225/29als Gateway verwendet.
Funktioniert diese Konfiguration für mich? Irgendwelche Kommentare? Wenn sie funktioniert, welche iptables-Regeln kann ich verwenden, um ein wenig Sicherheit zu haben?
PS: Beide Netzwerke sind nicht privat und es gibt kein NATing.
Antwort1
Mir ist nicht ganz klar, wie das eingerichtet wird/wie es Ihrer Meinung nach funktionieren wird („das stellt eine Verbindung zu meinem NAT-Router her … es gibt kein NATing“).
Aber soweit ich das sehe, wird es wahrscheinlich zu seltsamen und esoterischen Zusammenbrüchen kommen.
Nehmen wir an, ein externer Client stellt eine Verbindung zu 179.xxx.139.225 her, die Antwort könnte aber von 179.xxx.4.129 kommen – dann können Sie mit Sicherheit keine Stateful Firewall ausführen.
Es ist zwar durchaus möglich,Konfigurieren Sie Linux für das RoutingSinnvollerweise wäre es viel einfacher, die Netzwerke auf zwei Router aufzuteilen – selbst wenn einer davon eine virtuelle Maschine ist.
Antwort2
Abgesehen von der iptables-Konfiguration, von der ich keine Ahnung habe, denke ich, dass es für Sie funktionieren wird, aber Sie sollten die Routing-Tabelle des Linux-Systems nicht vergessen, um Ethik als Standard festzulegen.