Eu tenho hosts de virtualização (Proxmox) executando várias VMs que fornecem serviços públicos. Estou usando um dispositivo de firewall (OPNsense) para filtrar o tráfego. Isso funciona bem para uma sub-rede roteada, onde o IP público está vinculado diretamente à interface de rede virtual da VM: posso definir regras de firewall para filtrar o tráfego com base na porta/fonte, etc.
Em um dos servidores, recebi um único endereço IP público adicional do provedor de hospedagem que não faz parte de uma sub-rede roteada. eu tenho umendereço MAC virtual(virtual em termos denão vinculado a uma NIC física) e posso criar uma placa de rede virtual para uma VM com este endereço MAC, o que me permite atribuir esse IP diretamente a uma VM conectada à ponte pública.
Como desejo filtrar o tráfego com meu dispositivo de firewall, atribuí uma NIC virtual adicional à VM do firewall. A VM que fornece o serviço possui um endereço IP local/não roteado e está conectada a uma ponte local em umLANporta atrás da VM do firewall. agora posso usarNAT de destinoregras para mapear portas específicas para tráfego de entrada para a VM.
Pelo que entendi, isso exigiria que eu adicionassefonte NATregras para garantir que o tráfego de saída desta VM obtenha o endereço IP público correto como origem. Isso está correto?
Gostaria de saber se esta é a melhor maneira de fazer isso, ou se existe uma maneira mais transparente onde eu não tenha que lidar comDNATregras e todo o tráfego voltado para o IP público adicional seria direcionado 1:1 para a VM. Ser capaz de fazer filtragem baseada em regras ainda seria um requisito.