Eu tenho uma pequena rede com um modem a cabo de classe empresarial. Eu tenho um bloco * .192 / 29 atribuído ao lado interno do modem. O primeiro IP utilizável, .193, é atribuído à interface do modem a cabo. Eu não tenho acesso à configuração no modem a cabo - que pertence ao ISP.
Como eu vejo, eu tenho duas opções. Um é sub-rede o / 29 em dois / 30s. O problema é que isso me dará duas conexões essencialmente ponto-a-ponto. .193 no modem conectado a .194 no roteador, em seguida .197 em outra interface no roteador conectado a um dispositivo usando .198. Quando faço isso, meus IPs estão esgotados e só tenho um dispositivo, além do roteador, on-line.
A outra opção é colocar o modem e quaisquer outros dispositivos em um segmento comum antes do roteador. (Essa é a configuração que tenho atualmente, usando um roteador Cisco 2651XM com um módulo de comutação NM-16.) Isso permite que eu use 0,194 a 0,199 para dispositivos ativos. O problema que tenho com essa solução é que não tenho como colocar uma lista de acesso ao firewall no tráfego. Eu tenho um servidor em execução no IP .195. O tráfego da Internet para esse servidor vem de .193 no modem e vai diretamente para .195, permanecendo dentro de uma única VLAN no módulo de comutação. A interface que conecta o modem é uma porta de duas camadas e não aceita uma ACL. Ele não passa por uma interface roteada e, portanto, não passa por nenhuma lista de acesso. O servidor está totalmente aberto à Internet sem controle do tráfego. Não estou intimamente familiarizado com as VACLs, o que pode funcionar, mas elas parecem ser suportadas apenas em switches de última geração e não estão disponíveis no NM-16.
Uma possível solução seria colocar um IP privado no servidor e usar NAT para enviar o tráfego da Internet para o servidor, mas isso causa problemas com dispositivos internos que tentam acessar o servidor, já que o tráfego não estará chegando a interface NAT externa. Parece que isso deve ser um problema comum, mas não consigo encontrar nada no 'Net discutindo isso. Estou sentindo falta de algo simples?
Por que não usar os endereços RFC 1918 internamente (inclusive no servidor) e o tráfego de encaminhamento NAT / porta para hosts internos, conforme necessário, como você parece estar sugerindo como uma de suas possíveis soluções? O que os hosts internos precisam acessar no servidor para que eles não consigam usar os endereços RFC 1918 internamente e fazer o encaminhamento de NAT / porta para o servidor?
Solicite ao ISP para alterar o modem para atuar como uma ponte em vez de um roteador e colocar seus IPs públicos em seu próprio equipamento para que você possa encaminhá-los sempre que precisar.