Roteamento entre sub-redes em diferentes vlans conectadas por um roteador / firewall

Navegue suas respostas
2

Eu tenho duas redes que gostaria de conectar com um roteador / firewall para filtrar o tráfego entre os dois. Uma rede está em uma sub-rede pública, digamos 64.22.12.192/27 e a outra rede em uma sub-rede privada 192.168.0.0/24 . Eles são conectados através de um roteador que tem três portas Ethernet, uma conectada à internet, as outras duas conectadas às sub-redes pública e privada e estão em suas próprias VLANs. Como eu faço a sub-rede privada visível para a rede pública? Aqui está o diagrama de rede:

  • Router1 > eth0 --- Conectado à Internet
  • Router1 > eth1 --- 64.22.12.193/27 Conectado à sub-rede da VLAN 64 64.22.12.193/27
  • Roteador1 > eth3 --- 192.168.0.1/24 Conectado à VLAN 192 Sub-rede 192.168.0.0/24

Eu testei o roteamento estático 192.168.0.0/24 para 64.22.12.193 no roteador Eu também tentei rotear isso para 192.168.0.1 . Nem funcionou.

Quero que o tráfego entre as duas sub-redes passe pelo roteador porque desejo configurar regras de firewall no roteador entre as sub-redes.

  1. Eu tentei rotas estáticas, mas não consegui fazê-lo funcionar, estou fazendo algo errado?

  2. Eu percebi que eu poderia usar o NAT, mas para acessar máquinas IP privadas individuais, eu teria que configurar um NAT um-para-um que consumiria meus preciosos IPs públicos limitados

  3. Eu preciso configurar um túnel para realizar isso? Um túnel não ignoraria as regras do firewall?

show de rotas IP: 

default via 66.22.32.137 dev eth0  proto zebra 
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
64.22.12.192/27 dev eth1  proto kernel  scope link  src 64.22.12.193
66.22.32.136/29 dev eth0  proto kernel  scope link  src 66.22.32.141
127.0.0.0/8 dev lo  proto kernel  scope link  src 127.0.0.1
    
por Stallionz 25.09.2012 / 00:58

1 resposta

2

I tried static routes but couldn't get it to work

Você não deve precisar de rotas estáticas, seu sistema já possui todas as rotas necessárias. O Linux configura automaticamente rotas para todas as redes conectadas localmente. Supondo que você tenha o ip_forward habilitado e não há regras de firewall no momento bloqueando o tráfego, tudo deve funcionar.

Do I have to setup a Tunnel to accomplish this?

Não, você não precisa de nenhum túnel.

I realize I could use NATing but in order to access individual private IP machines,

Você não precisa de nenhuma regra de NAT. Na verdade, se você já tiver uma configuração SNAT / MASQ excessivamente ampla, isso pode ser um problema seu.

Assumindo que todos os clientes em 64.22.12.192/27 e 192.168.0.0/24 estão usando sua caixa linux como o gateway padrão, e você não tem nenhuma configuração de regras SNAT / MASQ para alterar o endereço de origem do tráfego que vai de eth3 - & gt ; A comunicação eth1 deve funcionar apenas.

    
por 25.09.2012 / 01:38

Tags

Como limitar a velocidade de download após o primeiro N mb no Squid? Qualquer solução para a limitação de continuação do download HTTP do Subversion?