내 ISP가 나에게 /30 네트워크를 제공했습니다. 나중에 더 많은 공개 IP를 원했을 때 /29 네트워크를 요청했습니다. ISP를 향하는 인터페이스에서는 이전 /30 네트워크를 계속 사용하라는 지시를 받았으며, 새로 지정된 /29 네트워크는 NAT 라우터 및 서버에 연결되는 다른 인터페이스에서 사용해야 합니다.
isp에서 얻은 내용은 다음과 같습니다.
WAN IP: 179.xxx.4.128/30
CUSTOMER IP : 179.xxx.4.130
ISP GATEWAY IP:179.xxx.4.129
SUBNET : 255.255.255.252
LAN IPS: 179.xxx.139.224/29
GATEWAY IP :179.xxx.139.225
SUBNET : 255.255.255.248
두 개의 인터페이스가 있는 Ubuntu PC가 있습니다. 그래서 저는 다음과 같은 일을 계획하고 있습니다.
eth0 will be given 179.xxx.4.130/30 gateway 179.xxx.4.129
eth1 will be given 179.xxx.139.225/29
그리고 나는 다음을 가질 것입니다 /etc/sysctl.conf:
net.ipv4.ip_forward=1
다음은 iptables 규칙입니다.
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
IP가 있고 게이트웨이로 사용하도록 만들어진 내 179.xxx.139.226/29클라이언트 입니다 179.xxx.139.227/29.179.xxx.139.225/29
이 구성이 나에게 적합합니까? 다른하실 말씀 있나요? 작동한다면 약간의 보안을 확보하기 위해 어떤 iptables 규칙을 사용할 수 있습니까?
PS 두 네트워크 모두 비공개이며 NAT가 없습니다.
답변1
이것이 어떻게 설정되어 있는지/어떻게 작동할지 잘 모르겠습니다("내 NAT 라우터에 연결됩니다....NAT가 없습니다").
그러나 내가 보기에 이것은 이상하고 난해한 방식으로 깨질 가능성이 높습니다.
외부 클라이언트가 179.xxx.139.225에 연결하지만 응답은 179.xxx.4.129에서 올 수 있습니다. 즉, 상태 저장 방화벽을 실행할 수 없습니다.
충분히 가능하지만라우팅을 처리하도록 Linux 구성합리적으로, 2개의 라우터에 네트워크를 분할하는 것이 훨씬 더 간단할 것입니다. 그 중 하나가 가상 머신인 경우에도 마찬가지입니다.
답변2
내가 전혀 모르는 iptables 구성 외에도 이것이 효과가 있을 것이라고 생각합니다. 하지만 윤리를 기본값으로 설정하려면 Linux 시스템의 라우팅 테이블을 잊어서는 안 됩니다.