나는 shibby의 Tomato 1.28을 실행하는 상업용 케이블 모뎀을 가지고 있습니다. 현재 DHCP를 통해 할당된 고정 IP 주소가 있으며 제대로 작동합니다. 라우팅 가능한 IP를 추가로 할당받았지만 해당 IP는 다른 서브넷에 있습니다.
**WAN**
addr:1.2.3.10 Bcast:1.2.3.255 Mask:255.255.255.0
**LAN**
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
**Additional WAN block info:**
Network: 2.2.3.120/29
Subnet Mask: 255.255.255.248
Start: 2.2.2.121
End: 2.2.2.126
새로운 5개의 주소를 192.168.1.x 호스트에 할당한 다음 이를 공용 주소에 매핑할 계획입니다.
**LAN** **WAN**
192.168.1.121 -> 2.2.2.121
192.168.1.122 -> 2.2.2.122
...
192.168.1.126 -> 2.2.2.126
방화벽 규칙이나 정적 경로를 사용하여 이 작업을 수행해야 합니까?
ISP의 지침: ...여기서 추가 블록을 라우팅할 것이라고 명시하셨습니다. 이는 장비에 수행해야 할 작업에 대한 기본 예입니다.
라우팅: 이 블록에서 내부 인터페이스로 IP를 구성해야 합니다. 2.2.2.121의 첫 번째 사용 가능한 IP를 사용하는 것이 좋습니다. 그러면 이 IP가 서브넷 트래픽의 게이트웨이 역할을 합니다.
답변1
방화벽 규칙이나 정적 경로를 사용하여 이 작업을 수행해야 합니까?
정적 경로를 사용하면iproute2의 제품군, 그렇다면 당신 말이 맞습니다. 양방향으로 수행할 수 있으며 지금까지 성능 차이를 인식할 수 없었습니다.
NIC는 다음 두 가지 상황에서만 UNICAST 트래픽을 허용합니다.
UNICAST 트래픽이 전달되는 IP 주소가 있습니다.
무차별 모드입니다.
무차별 모드는 보안 위험으로 간주됩니다. 따라서 새로운 공용 IP 주소 세트를 라우터의 WAN 포트에 할당해야 합니다.
넷필터옵션
이 단일 기능을 통해 모든 트래픽을 적절한 PC로 리디렉션할 수 있습니다.iptables명령:
iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121
하지만 이로 인해 작은 구멍이 남게 됩니다. netfilter NAT는~ 아니다커널이 NAT IP에 대한 ARP 요청에 응답하도록 합니다.여기를 보아라. 따라서 다음과 같이 두 가지 리디렉션을 사용하는 것이 좋습니다.
iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121
이는 비TCP/UDP 트래픽을 다시 라우팅하지 않으므로 ICMP/ARP 트래픽이 그에 따라 작동하는 라우터 커널에 도달합니다.
다른 IP 및 서버에도 마찬가지입니다.
iproute2옵션
이렇게 하면 건드리지 않고iptables ARP 트래픽이 올바르게 처리됩니다. 실행할 명령은 다음과 같습니다.
ip route add nat 2.2.2.121 via 192.168.1.121
ip rule add nat 2.2.2.121 from 192.168.1.121
첫 번째 규칙은 INBOUND 트래픽에 적용되고 두 번째 규칙은 OUTBOUND 트래픽에 적용됩니다. 첫 번째 규칙은 대상 주소를 다시 작성하여 트래픽을 로컬 서버로 리디렉션합니다. 두 번째 규칙은 응답이 로컬 IP 192.168.1.121 대신 공용 IP 2.2.2.121에서 오는 것처럼 보이도록 소스 주소를 다시 작성합니다.
즐기다. 그리고, 그런데,
현재 DHCP를 통해 할당된 고정 IP 주소가 있으며 정상적으로 작동합니다.
이것은 무엇을 의미 하는가???