BEARBEITEN:Ich weiß, wie man NAT verwendet. Ich möchte insbesondere, dass der Server über zwei IPs erreichbar ist, eine private und eine öffentliche, mit der Firewall von OpenWRT dazwischen, wenn möglich.
Im Büro haben wir von unserem ISP eine /29 erhalten. Die erste Adresse ist für deren Endpunkt reserviert, sodass ich fünf Adressen frei verwenden kann.
Da wir ein lokales Netzwerk betreiben, steht dazwischen natürlich ein Router mit OpenWRT, der alle Hosts mit (W)LAN (DHCP aus einem privaten Bereich) versorgt.
Wir haben jedoch auch einen Server, auf dem OS X Server 10.6 (Snow Leopard) läuft, und ich möchte, dass dieser Server sowohl vom LAN über eine private IP als auch vom WAN über seine eigene öffentliche IP zugänglich ist.
Zu beachten ist, dass der Server nur über einen Netzwerkanschluss verfügt, sodass mehrere Netzwerkkarten leider keine Option sind.
Wie würde ich dabei vorgehen?
Antwort1
Sie könnten zwar NAT verwenden, um per DNAT einfach eine öffentliche Adresse an den OS X-Rechner zu senden, es gäbe jedoch Probleme mit Protokollen, die durch NAT unterbrochen werden, oder mit der Host-Verbindung, sobald Sie mehr als einen Rechner in der „DMZ“ haben möchten.
Sie können eine "richtige" DMZ einrichten, indem Sie eine Kombination einiger fortgeschrittener Netzwerktechniken verwenden, nämlich
- VLANs, sodass Ihr OS X-Server keine zusätzlichen physischen Netzwerkkarten benötigt
- ProxyARP zum Weiterleiten von IP-Paketen zwischen Netzwerken mit denselben Netzwerkadressen-/Subnetzmaskeneigenschaften
Der grundlegende Ablauf:
- definieren Sie eine neueVLAN für die DMZund eine neue virtuelle Schnittstelle mit der gleichen IP-Adresse wie Ihre WAN-Schnittstelle auf Ihrem OpenWRT-Gerät
- Stellen Sie sicher, dass der Port, über den Ihr OS X-Rechner mit dem OpenWRT-Router verbunden ist, als getaggtes Mitglied definiert ist (d. h. ein
tangehängtesVLAN-Definitionszeile) - Richten Sie eine virtuelle Schnittstelle mit derselben VLAN-ID einwie zuvor für die DMZ auf Ihrem OS X-Server definiert
- Richten Sie die IP-Adresse aus dem Adressraum ein, den Sie auf der virtuellen DMZ-Schnittstelle des OS X-Servers verwenden möchten, und fügen Sie eine Standardroute über die öffentliche OpenWRT-Adresse hinzu
- Richten Sie die Routen entsprechend ein und aktivieren Sie den Proxy-ARPauf der OpenWRT-Maschine
- vergessen Sie nichtFilter einrichtenfür Ihre neu erstellte DMZ
Dies wird einige Zeit in Anspruch nehmen und einige Tests Ihrerseits erfordern. Außerdem werden für die dauerhafte Aktivierung des ProxyARP-Teils einige grundlegende Skripts erforderlich sein, da dieser nicht mit UCI konfiguriert werden kann.
Antwort2
Ich habe OpenWRT noch nie verwendet, aber mit NAT-Weiterleitung ist es möglich:
http://wiki.openwrt.org/doc/uci/firewall#forwarding.ports.destination.natdnat