Faça isso da maneira certa - obtenha o intervalo de endereços roteado para o seu firewall e coloque os endereços IP onde eles deveriam estar, nos dispositivos de destino.
Estou no processo de configurar uma caixa do Ubuntu Linux para atuar como um roteador. É uma configuração bastante normal com o NAT usando IPTables - e está funcionando bem para mim.
Estou prestes a colocar isso em produção e, até agora, testei vários IPs WAN em sub-rotinas no arquivo / etc / network / interfaces:
# WAN Interface
iface eth0 inet static
address 123.123.456.345
netmask 255.255....
network ...
broadcast ...
gateway ...
iface eth0:1 inet static
address 123.456.789.123
netmask ...
iface eth0:2 inet static ...
O problema que eu encontrei é que temos cerca de 20 IPs WAN que esta caixa Linux precisa fazer NATing agora, o que significa que eu preciso atribuir todos os 20 desses IPs a esta caixa, que pode então se traduzir em o IP privado correto.
Essa é a coisa - o arquivo de interfaces está crescendo constantemente, e estou começando a me perguntar se isso vai se tornar difícil de gerenciar em um futuro próximo. Mas o exemplo acima é praticamente o único jeito que eu já fiz, e de longe o exemplo mais comum que eu posso encontrar quando pesquiso.
O único outro método que encontrei e considerei está aqui: link
# Internet interface
auto eth0
iface eth0 inet static
address 206.124.146.176
netmask 255.255.255.0
gateway 206.124.146.254
up ip addr add 206.124.146.178/24 brd 206.124.146.255 dev eth0 label eth0:0
Existe uma maneira de organizar isso que outra pessoa pode recomendar para um grande número de aliases de IP? E por que você escolheu isso sobre qualquer outro método?
EDITAR
Como duas respostas agora têm sugerido, não use NAT, apenas conecte o tráfego através do firewall e atribua IPs diretamente no servidor. Devo acrescentar que já estamos usando esse método na produção, mas decidimos nos afastar dele.
Queremos salvar nosso espaço de endereço público, muitos dos dispositivos ou VMs precisam apenas de uma porta pública aberta e nenhum outro serviço público. Por esse motivo, queremos mapear as portas em um único IP público para separar os dispositivos internos.
Estamos avançando para uma infraestrutura de VPN que permite aos clientes acessar e acessar sua sub-rede / VLAN alocada e, portanto, ter acesso a seus servidores.
VLANs com uma configuração de firewall em ponte provaram ser problemáticas. Como os pacotes estão chegando ao nosso provedor upstream, os pacotes são rejeitados.
Devo deixar claro que isso não é totalmente uma configuração NAT 1: 1. É só que, agora, todos os dispositivos têm seu próprio IP WAN - então essa é a melhor descrição do que estamos tendo que mudar agora.
Muitos dos dispositivos ainda precisarão de seu próprio IP, e nesses casos, nós NAT e permitimos as portas individualmente, então é como NAT 1-1, com firewall. Em alguns casos, porém, os dispositivos não precisarão de um IP da WAN.
Obrigado!
Faça isso da maneira certa - obtenha o intervalo de endereços roteado para o seu firewall e coloque os endereços IP onde eles deveriam estar, nos dispositivos de destino.
Em vez de utilizar muitos desses endereços, por que você não usa seu firewall para conectar as duas redes e atribui os IPs reais diretamente aos sistemas em questão? Você ainda pode filtrar o tráfego para proteger os hosts, e você pode aliviar a carga (não que seja muito , provavelmente) no firewall por não ter que manter todos esses NATs.
Procure bridging, brctl e ebtables no linux.