Atribuindo muitos IPs WAN a um roteador Linux para NAT 1: 1?

2

Estou no processo de configurar uma caixa do Ubuntu Linux para atuar como um roteador. É uma configuração bastante normal com o NAT usando IPTables - e está funcionando bem para mim.

Estou prestes a colocar isso em produção e, até agora, testei vários IPs WAN em sub-rotinas no arquivo / etc / network / interfaces:

# WAN Interface
iface eth0 inet static
    address 123.123.456.345
    netmask 255.255....
    network ...
    broadcast ...
    gateway ...

iface eth0:1 inet static
    address 123.456.789.123
    netmask ...

iface eth0:2 inet static ...

O problema que eu encontrei é que temos cerca de 20 IPs WAN que esta caixa Linux precisa fazer NATing agora, o que significa que eu preciso atribuir todos os 20 desses IPs a esta caixa, que pode então se traduzir em o IP privado correto.

Essa é a coisa - o arquivo de interfaces está crescendo constantemente, e estou começando a me perguntar se isso vai se tornar difícil de gerenciar em um futuro próximo. Mas o exemplo acima é praticamente o único jeito que eu já fiz, e de longe o exemplo mais comum que eu posso encontrar quando pesquiso.

O único outro método que encontrei e considerei está aqui: link

# Internet interface
auto eth0
iface eth0 inet static
    address 206.124.146.176
    netmask 255.255.255.0
    gateway 206.124.146.254
    up ip addr add 206.124.146.178/24 brd 206.124.146.255 dev eth0 label eth0:0

Existe uma maneira de organizar isso que outra pessoa pode recomendar para um grande número de aliases de IP? E por que você escolheu isso sobre qualquer outro método?

EDITAR

Como duas respostas agora têm sugerido, não use NAT, apenas conecte o tráfego através do firewall e atribua IPs diretamente no servidor. Devo acrescentar que já estamos usando esse método na produção, mas decidimos nos afastar dele.

  • Queremos salvar nosso espaço de endereço público, muitos dos dispositivos ou VMs precisam apenas de uma porta pública aberta e nenhum outro serviço público. Por esse motivo, queremos mapear as portas em um único IP público para separar os dispositivos internos.

  • Estamos avançando para uma infraestrutura de VPN que permite aos clientes acessar e acessar sua sub-rede / VLAN alocada e, portanto, ter acesso a seus servidores.

  • VLANs com uma configuração de firewall em ponte provaram ser problemáticas. Como os pacotes estão chegando ao nosso provedor upstream, os pacotes são rejeitados.

Devo deixar claro que isso não é totalmente uma configuração NAT 1: 1. É só que, agora, todos os dispositivos têm seu próprio IP WAN - então essa é a melhor descrição do que estamos tendo que mudar agora.

Muitos dos dispositivos ainda precisarão de seu próprio IP, e nesses casos, nós NAT e permitimos as portas individualmente, então é como NAT 1-1, com firewall. Em alguns casos, porém, os dispositivos não precisarão de um IP da WAN.

Obrigado!

    
por Geekman 22.07.2011 / 04:20

2 respostas

1

Faça isso da maneira certa - obtenha o intervalo de endereços roteado para o seu firewall e coloque os endereços IP onde eles deveriam estar, nos dispositivos de destino.

    
por 22.07.2011 / 06:07
0

Em vez de utilizar muitos desses endereços, por que você não usa seu firewall para conectar as duas redes e atribui os IPs reais diretamente aos sistemas em questão? Você ainda pode filtrar o tráfego para proteger os hosts, e você pode aliviar a carga (não que seja muito , provavelmente) no firewall por não ter que manter todos esses NATs.

Procure bridging, brctl e ebtables no linux.

    
por 22.07.2011 / 05:19