Tengo hosts de virtualización (Proxmox) ejecutando múltiples máquinas virtuales que brindan servicios públicos. Estoy usando un dispositivo de firewall (OPNsense) para filtrar el tráfico. Esto funciona bien para una subred enrutada, donde la IP pública está vinculada directamente a la interfaz de red virtual de la VM: puedo configurar reglas de firewall para filtrar el tráfico según el puerto/fuente, etc.
En uno de los servidores, obtuve una única dirección IP pública adicional del proveedor de alojamiento que no forma parte de una subred enrutada. Conseguí undirección MAC virtual(virtual en términos deno vinculado a una NIC física) y puedo crear una tarjeta de red virtual para una VM con esta dirección MAC que me permite asignar esta IP directamente a una VM que está conectada al puente público.
Como quiero filtrar el tráfico con mi dispositivo de firewall, asigné una NIC virtual adicional a la VM del firewall. La VM que proporciona el servicio tiene una dirección IP local/no enrutada y está conectada a un puente local en unLANpuerto detrás de la máquina virtual del firewall. ahora puedo usarNAT de destinoreglas para asignar puertos específicos para el tráfico entrante a la máquina virtual.
Según tengo entendido, esto requeriría que agreguefuente NATreglas para garantizar que el tráfico saliente de esta máquina virtual obtenga la dirección IP pública correcta como origen. ¿Es esto correcto?
Me pregunto si esta es la mejor manera de hacerlo o si existe una forma más transparente en la que no tenga que lidiar conADNTreglas y todo el tráfico dirigido a la IP pública adicional se dirigiría 1:1 a la VM. Por supuesto, poder realizar un filtrado basado en reglas seguiría siendo un requisito.