Eu tenho um modem a cabo comercial rodando o Tomato 1.28 da Shibby. Atualmente possui um endereço IP estático atribuído via DHCP e funciona bem. Recebi alguns IPs roteáveis adicionais, mas eles estão em uma sub-rede diferente.
**WAN**
addr:1.2.3.10 Bcast:1.2.3.255 Mask:255.255.255.0
**LAN**
inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
**Additional WAN block info:**
Network: 2.2.3.120/29
Subnet Mask: 255.255.255.248
Start: 2.2.2.121
End: 2.2.2.126
Pretendo atribuir os novos 5 endereços aos hosts 192.168.1.x e depois mapeá-los para os endereços públicos.
**LAN** **WAN**
192.168.1.121 -> 2.2.2.121
192.168.1.122 -> 2.2.2.122
...
192.168.1.126 -> 2.2.2.126
Isso deveria ser feito com regras de firewall ou rotas estáticas?
Instruções do ISP: ...você declarou que irá rotear seu bloco adicional aqui está um exemplo básico do que precisará ser feito em seu equipamento
Roteamento: precisarei que você configure um IP deste bloco para uma interface INTERNA; Eu sugeriria usar o primeiro IP utilizável 2.2.2.121. Este IP atuará então como gateway para o tráfego das sub-redes.
Responder1
Isso deveria ser feito com regras de firewall ou rotas estáticas?
Se, por rotas estáticas, você quer dizersuíte do iproute2, então você está certo, pode ser feito das duas maneiras, e até agora não consegui perceber diferença de desempenho.
Uma NIC aceitará tráfego UNICAST somente sob duas circunstâncias:
Possui o endereço IP para o qual o tráfego UNICAST é direcionado;
Está em modo promíscuo.
O modo promíscuo é considerado um risco à segurança. Portanto, você deve atribuir o novo conjunto de endereços IP públicos à porta WAN do seu roteador.
FILTRO DE REDEopção
Você pode redirecionar todo o tráfego para o computador apropriado por meio deste únicotabelas de ipcomando:
iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121
mas isso deixa um pequeno buraco: o netfilter NAT faznãofazer com que o kernel responda às solicitações ARP para o IP NATted,Veja aqui. Portanto, sugiro que você use dois redirecionamentos da seguinte maneira:
iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121
Isso não redireciona o tráfego não TCP/UDP, de modo que o tráfego ICMP/ARP atinge o kernel do roteador, que age de acordo.
O mesmo acontece com seus outros IPs e servidores.
iproute2opção
Assim você não tocatabelas de ip e o tráfego ARP é contabilizado corretamente. Os comandos a serem emitidos são:
ip route add nat 2.2.2.121 via 192.168.1.121
ip rule add nat 2.2.2.121 from 192.168.1.121
A primeira regra se aplica ao tráfego INBOUND, a segunda ao tráfego OUTBOUND. A primeira regra redireciona o tráfego para o seu servidor local reescrevendo o endereço de destino. A segunda regra reescreve o endereço de origem para fazer parecer que a resposta vem do IP público 2.2.2.121 em vez do IP local 192.168.1.121.
Aproveitar. E, aliás,
Atualmente possui um endereço IP estático atribuído via DHCP e funciona bem
O que isto significa???