Tengo un cable módem comercial que ejecuta Tomato 1.28 de shibby. Actualmente tiene una dirección IP estática asignada mediante DHCP y funciona bien. Me asignaron algunas IP enrutables adicionales pero están en una subred diferente.
**WAN**
addr:1.2.3.10 Bcast:1.2.3.255 Mask:255.255.255.0
**LAN**
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
**Additional WAN block info:**
Network: 2.2.3.120/29
Subnet Mask: 255.255.255.248
Start: 2.2.2.121
End: 2.2.2.126
Planeo asignar las nuevas 5 direcciones a hosts 192.168.1.x y luego asignarlas a las direcciones públicas.
**LAN** **WAN**
192.168.1.121 -> 2.2.2.121
192.168.1.122 -> 2.2.2.122
...
192.168.1.126 -> 2.2.2.126
¿Debería hacerse esto con reglas de firewall o rutas estáticas?
Instrucciones del ISP: ... usted indicó que enrutará su bloque adicional. Aquí hay un ejemplo básico de lo que deberá hacerse con su equipo.
Enrutamiento: necesitaré que configures una IP desde este bloque a una interfaz INTERNA; Sugeriría utilizar la primera IP utilizable de 2.2.2.121. Esta IP actuará como puerta de enlace para el tráfico de la subred.
Respuesta1
¿Debería hacerse esto con reglas de firewall o rutas estáticas?
Si por rutas estáticas te refieres asuite de iproute2, entonces tienes razón, se puede hacer en ambos sentidos y hasta ahora no he podido percibir una diferencia de rendimiento.
Una NIC aceptará tráfico UNICAST sólo en dos circunstancias:
Tiene la dirección IP a la que se dirige el tráfico UNICAST;
Está en modo promiscuo.
El modo promiscuo se considera un peligro para la seguridad. Por lo tanto, debes asignar el nuevo conjunto de direcciones IP públicas al puerto WAN de tu enrutador.
NETFILTROopción
Puede redirigir todo el tráfico a la computadora adecuada mediante este únicoiptablesdominio:
iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121
pero esto deja un pequeño agujero: netfilter NAT nonohacer que el kernel responda solicitudes ARP para la IP NAT,mira aquí. Por lo tanto, le sugiero que utilice dos redireccionamientos de la siguiente manera:
iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121
Esto no redirige el tráfico que no es TCP/UDP, de modo que el tráfico ICMP/ARP llega al núcleo del enrutador, que actúa en consecuencia.
Lo mismo ocurre con sus otras IP y servidores.
iproute2opción
De esta manera no tocasiptables en absoluto, y el tráfico ARP se contabiliza correctamente. Los comandos a emitir son:
ip route add nat 2.2.2.121 via 192.168.1.121
ip rule add nat 2.2.2.121 from 192.168.1.121
La primera regla se aplica al tráfico ENTRADA, la segunda al tráfico SALIENTE. La primera regla redirige el tráfico a su servidor local reescribiendo la dirección de destino. La segunda regla reescribe la dirección de origen para que parezca que la respuesta proviene de la IP pública 2.2.2.121 en lugar de la IP local 192.168.1.121.
Disfrutar. Y, por cierto,
Actualmente tiene una dirección IP estática asignada vía DHCP y funciona bien
¿¿¿Qué quiere decir esto???