我在同一托pipe服务提供商有3个独立的CentOS服务器。 托pipe公司不能为我提供这个设备的防火墙,只有iptables。 所以我想购买另一台服务器,并将这台服务器作为我已经拥有的前3台服务器的防火墙(以及一些监控工具,如Snort)。 我没有在任何服务器的私人IP,他们不在私人networking。 如果不在专用networking中,可以通过“防火墙服务器”路由所有stream量?
公共vs私人在这里并不重要,你可以使用任何一个。 但是,我认为你会发现,如果不把你现有的服务器放到一个专用的,私有的或公共的子网上,实现你要找的东西是非常棘手的,因为新的服务器/防火墙充当网关,因为这是最自然的方式让stream量通过防火墙系统地stream动。
问题是,如果别的东西在包含3个服务器和防火墙的子网之前充当网关,那么configuration这个“别的东西”将stream量首先发送到防火墙是非常棘手的,当它直接访问3服务器通过连接的networking。
这可以使用桥接防火墙来完成。 我不得不在一个旧的工作中心这样做,我们的部门不允许创build一个专用networking,所以我在networking外部的链路和内部的一切之间搭起了桥接防火墙(linux iptables和桥接软件)。 你必须做一些额外的技巧来做到这一点,但它的工作。
这是一个看起来相当准确的链接。 不过,我自己做了一段时间(至less10年)。