Mi enrutador basado en Linux tiene 5 puertos Ethernet. Actualmente actúa como enrutador entre los puertos 1 y 2 y el puerto WAN dedicado, sin NAT. El puerto 1 es 192.168.1.1/24, el puerto 2 es 192.168.2.1/24, el puerto WAN es 192.168.0.1/24.
La conexión WAN saliente pasa por un dispositivo de registro que realiza un seguimiento del uso, luego pasa por un segundo enrutador doméstico que realiza NAT y utiliza una IP pública en su puerto WAN.
Para simplificar, la red es la siguiente, con el prefijo IP 192.168.-:
server1--------Router1--------Logging device--------Router2----------
.1.2 .1.1 .0.1 .0.254 (public ip)
La configuración del enrutador1 funciona bien (es un enrutador simple), y el enrutador2 también (es una puerta de enlace simple). Sin embargo, me gustaría eliminar el Router2 y realizar mi NAT entre los puertos 3 y 4 del Router1, con el puerto 4 usando mi IP pública real.
¿Sería eso factible? Me gustaría mantener un aislamiento estricto entre los puertos 1-2-WAN y 3-4, para asegurarme de que todo el tráfico pase por el dispositivo de registro (con su dirección IP de origen original).
¿Los puentes transparentes serían la solución? ¿Puedo aplicar NAT de origen a este puente? ¿Está bien el direccionamiento IP?
Respuesta1
Suponiendo que sus 5 puertos Ethernet en el enrutador1 se llamen eth0 - eth4, por lo tanto, tenga la WAN en eth3:
iptables -t nat -A POSTROUTING --source 192.168.1.0/24 --out-interface eth3 -j MASQUERADE
iptables -t nat -A POSTROUTING --source 192.168.2.0/24 --out-interface eth3 -j MASQUERADE
Si tiene una IP fija como dirección IP pública, reemplace "-j MASQUERADE" con "-j SNAT --to-source $PUBLIC_IP" (¡por supuesto, reemplace $PUBLIC_IP con su dirección WAN!).
Por supuesto, deberá configurar su ruta predeterminada en eth3, pero eso no era parte de la pregunta. También querrás bloquear el tráfico entrante en la dirección IP pública.