我的 ISP 給了我一個 /30 網路。後來,當我想要更多的公共 ip 時,我請求了 /29 網路。我被告知要在面向 ISP 的介面上繼續使用之前的 /30 網絡,而新提供的 /29 網路應該在連接到我的 NAT 路由器和伺服器的另一個介面上使用。
這是我從 ISP 得到的:
WAN IP: 179.xxx.4.128/30
CUSTOMER IP : 179.xxx.4.130
ISP GATEWAY IP:179.xxx.4.129
SUBNET : 255.255.255.252
LAN IPS: 179.xxx.139.224/29
GATEWAY IP :179.xxx.139.225
SUBNET : 255.255.255.248
我有一台 Ubuntu 電腦,有兩個介面。所以我計劃做以下事情:
eth0 will be given 179.xxx.4.130/30 gateway 179.xxx.4.129
eth1 will be given 179.xxx.139.225/29
我將在 中提供以下內容/etc/sysctl.conf:
net.ipv4.ip_forward=1
這些將是 iptables 規則:
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
我的客戶端有 ip 179.xxx.139.226/29,179.xxx.139.227/29將用作179.xxx.139.225/29網關。
這個配置對我有用嗎?任何意見?如果可行的話,我可以使用哪些 iptables 規則來獲得一定的安全性?
PS 兩個網路都是非私有的,沒有 NATing。
答案1
我不太清楚這是如何設定的/你認為它將如何運作(「它連接到我的 NAT 路由器......沒有 NATing」)。
但據我所知,這很可能會以奇怪而深奧的方式被打破。
考慮一下,外部用戶端連線到 179.xxx.139.225,但回覆可能來自 179.xxx.4.129 - 您當然無法執行任何狀態防火牆。
雖然很有可能配置 Linux 來處理路由明智地,跨 2 個路由器對網路進行分區會更簡單 - 即使其中一個是虛擬機器。
答案2
除了我不知道的 iptables 設定之外,我認為它對你有用,但你不應該忘記 Linux 系統的路由表,以將道德作為預設值。