Ich habe Virtualisierungshosts (Proxmox) mit mehreren VMs, die öffentliche Dienste bereitstellen. Ich verwende eine Firewall-Appliance (OPNsense), um den Datenverkehr zu filtern. Dies funktioniert gut für ein geroutetes Subnetz, bei dem die öffentliche IP direkt an die virtuelle Netzwerkschnittstelle der VM gebunden ist: Ich kann Firewall-Regeln festlegen, um den Datenverkehr basierend auf Port/Quelle usw. zu filtern.
Auf einem der Server habe ich vom Hosting-Anbieter eine einzige zusätzliche öffentliche IP-Adresse erhalten, die nicht Teil eines gerouteten Subnetzes ist. Ich habe einevirtuelle MAC-Adresse(virtuell im Sinne vonnicht an eine physische Netzwerkkarte gebunden) und ich kann eine virtuelle Netzwerkkarte für eine VM mit dieser MAC-Adresse erstellen, die es mir ermöglicht, diese IP direkt einer VM zuzuweisen, die an die öffentliche Bridge angeschlossen ist.
Da ich den Datenverkehr mit meiner Firewall-Appliance filtern möchte, habe ich der Firewall-VM eine zusätzliche virtuelle Netzwerkkarte zugewiesen. Die VM, die den Dienst bereitstellt, hat eine lokale / nicht geroutete IP-Adresse und ist an eine lokale Bridge auf einemLANPort hinter der Firewall-VM. Ich kann jetztZiel-NATRegeln zum Zuordnen bestimmter Ports für eingehenden Datenverkehr zur VM.
Nach meinem Verständnis müsste ich hinzufügen:Quell-NATRegeln, um sicherzustellen, dass ausgehender Datenverkehr von dieser VM die richtige öffentliche IP-Adresse als Quelle erhält. Ist das richtig?
Ich frage mich, ob dies der beste Weg ist, dies zu tun, oder ob es einen transparenteren Weg gibt, bei dem ich mich nicht damit befassen mussDNATRegeln und der gesamte Datenverkehr, der an die zusätzliche öffentliche IP-Adresse gerichtet ist, würde 1:1 an die VM weitergeleitet. Die Möglichkeit einer regelbasierten Filterung wäre natürlich weiterhin eine Voraussetzung.