我有虛擬化主機(普羅克斯莫克斯)運行多個提供公共服務的虛擬機器。我正在使用防火牆設備(奧普森感)來過濾流量。這對於路由子網路來說效果很好,其中公用 IP 直接綁定到虛擬機器的虛擬網路介面:我可以設定防火牆規則來根據連接埠/來源等過濾流量。
在其中一台伺服器上,我從託管提供者那裡獲得了一個額外的公共 IP 位址,該位址不屬於路由子網路的一部分。我有一個虛擬MAC位址(虛擬方面未綁定到實體網卡),我可以為具有此 MAC 位址的虛擬機器建立虛擬網路卡,這使我可以將此 IP 直接指派給連接到公共網橋的虛擬機器。
由於我想使用防火牆設備過濾流量,因此我向防火牆虛擬機器分配了額外的虛擬 NIC。提供服務的虛擬機器具有本地/未路由的 IP 位址,並連接到本地橋區域網路防火牆虛擬機器後面的連接埠。我現在可以使用目的NAT用於將入站流量的特定連接埠對應到 VM 的規則。
根據我的理解,這需要我添加源NAT規則以確保來自此虛擬機器的出站流量取得正確的公用 IP 位址作為其來源。它是否正確?
我想知道這是否是最好的方法,或者是否有一種更透明的方法,我不必處理DNAT規則和麵向其他公共 IP 的所有流量都將 1:1 導向至 VM。當然,能夠進行基於規則的過濾仍然是一個要求。