我有一个两个接口Linux的iptables防火墙。 目前我有一个私人networking192.168.0.x后面有几个服务器。 防火墙目前在本地configuration了每个IP,并使用NAT将端口转发到相应的服务器,例如:
208.80.x.130:80 – > 192.168.0.130:80
我的界面如下所示:
vlan1 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.129 Bcast:208.80.x.159 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1140818 errors:0 dropped:0 overruns:0 frame:0 TX packets:1108086 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:462146250 (440.7 MiB) TX bytes:590006065 (562.6 MiB) vlan1:0 Link encap:Ethernet HWaddr 20:20:30:87:20:30 inet addr:208.80.x.130 Bcast:208.80.x.255 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 br0 Link encap:Ethernet HWaddr 20:CF:30:87:EC:2F inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1120674 errors:0 dropped:0 overruns:0 frame:0 TX packets:1105443 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:570011808 (543.6 MiB) TX bytes:469174153 (447.4 MiB) 我有一个/ 27的IP地址; 208.80.x.129-157网关208.80.x.158。 我想在该范围的顶端分割一个小的子网,比如/ 29。 我目前使用IP的129-141,所以我不想触摸这些。 我的目标是除了我目前服务的natted地址之外,还有一个小的可路由地址vlan。
internets | 208.80.x.158 isp router | 208.80.x.129-147 firewall --+------------------- | | 192.168.0.x 208.80.x.148-156
我如何做到这一点?
您的ISP提供的当前IP分配是不可能的。
首先要问你的ISP一个新的路由块。 这可能只是一个/ 30。
将路由IP放在vlan1接口上。
将NAT IP的池(.129到147)放在回环上,以便现有的PREROUTING NAT规则继续工作。
把208.80.x.149 / 29放在br0上。 如果您希望将其作为DMZ与现有LAN完全隔离,则可以为此创build一个新的VLAN。
我做了很多次,效果很好。
我通过将子网分成两部分来完成这个任务,并要求提供者将其网关IP移到第一个子网中的一个地址。 我把所有的第一个子网ips放在外部接口上。 在这一点上,第一个(natted)子网启动并运行。 然后我问我的isp为我的路由器外部ip设置第二个子网的静态路由。 我在第二个子网中添加了一个vlan接口。 此时,第二个(路由)networking已经启动并正在运行。