Dividindo uma sub-rede e roteando-a em um firewall de iptables de duas interfaces

Question

Dividindo uma sub-rede e roteando-a em um firewall de iptables de duas interfaces

#1 resposta do (1 votos)
#2 resposta do (0 votos)

2

Eu tenho um firewall de iptables Linux de duas interfaces. Atualmente tenho vários servidores por trás dele em uma rede privada 192.168.0.x. O firewall atualmente tem cada IP configurado localmente e usa o NAT para redirecionar a porta para o servidor apropriado, por exemplo:

208.80.x.130: 80 - > 192.168.0.130:80

Minhas interfaces parecem com algo assim:

vlan1      Link encap:Ethernet  HWaddr 20:20:30:87:20:30
           inet addr:208.80.x.129  Bcast:208.80.x.159  Mask:255.255.255.224
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:1140818 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1108086 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:462146250 (440.7 MiB)  TX bytes:590006065 (562.6 MiB)

vlan1:0    Link encap:Ethernet  HWaddr 20:20:30:87:20:30
           inet addr:208.80.x.130  Bcast:208.80.x.255  Mask:255.255.255.224
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

br0        Link encap:Ethernet  HWaddr 20:CF:30:87:EC:2F
           inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
           RX packets:1120674 errors:0 dropped:0 overruns:0 frame:0
           TX packets:1105443 errors:0 dropped:0 overruns:0 carrier:0
           collisions:0 txqueuelen:0
           RX bytes:570011808 (543.6 MiB)  TX bytes:469174153 (447.4 MiB)

Eu tenho um / 27 de endereços IP; 208.80.x.129-157 gateway 208.80.x.158. Gostaria de dividir uma pequena sub-rede na extremidade superior desse intervalo, como um / 29. Atualmente estou usando ip's 129-141, então eu não quero tocá-los. Meu objetivo é ter uma pequena vlan de endereços roteáveis, além dos endereços que eu sirvo atualmente.

    internets
       |
 208.80.x.158
  isp router
       |
 208.80.x.129-147
    firewall
     --+-------------------
     |                    |
192.168.0.x      208.80.x.148-156

Como faço isso?

iptables routing route vlan

por Antonius Bloch 09.04.2011 / 19:31

2 respostas

1

Isso é impossível com a atual alocação de IP fornecida pelo seu ISP.

Primeiro, pergunte ao seu ISP por um novo bloco de roteamento. Isso pode ser apenas um / 30.
Coloque o IP de roteamento na interface vlan1.
Coloque o pool de IPs NAT (.129 a 147) no loopback para que as regras NAT de PREROUTING existentes continuem funcionando.
Coloque o 208.80.x.149 / 29 na br0. Se você quer que isso seja completamente isolado de sua LAN existente como DMZ, então você pode criar uma nova VLAN para isso.

Já fiz isso várias vezes e funciona muito bem.

por 20.04.2011 / 05:56

Tags iptables routing route vlan

Não é possível conectar ao SQL 2008 R2 Express com a conexão Criptografar verificada (Microsoft SQL Server, Erro: 11001) Como é uma notificação UDRP oficial?

score 0 · Accepted Answer

Eu consegui isso dividindo a sub-rede em dois e pedindo ao meu provedor para mover seu ip de gateway para um endereço na primeira sub-rede. Eu coloquei todos os primeiros ips da sub-rede na interface externa. Nesse ponto, a primeira sub-rede (natted) está ativa e funcionando. Então eu perguntei ao meu provedor para definir uma rota estática para a segunda sub-rede para o ip externo do roteador. Eu adicionei uma interface vlan com um ip na segunda sub-rede. Neste ponto, a segunda rede (encaminhada) está em funcionamento.