Додавання додаткової маршрутизованої підмережі до маршрутизатора

У мене є комерційний кабельний модем під керуванням Tomato 1.28 від shibby. Наразі у нього є статична IP-адреса, призначена через DHCP, і працює чудово. Мені було призначено кілька додаткових маршрутизованих IP-адрес, але вони знаходяться в іншій підмережі.

**WAN**
addr:1.2.3.10  Bcast:1.2.3.255  Mask:255.255.255.0 
**LAN**
inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0 

**Additional WAN block info:**
Network:        2.2.3.120/29
Subnet Mask:    255.255.255.248
Start:          2.2.2.121
End:            2.2.2.126

Я планую призначити нові 5 адрес хостам 192.168.1.x, а потім відобразити їх на загальнодоступні адреси.

**LAN**            **WAN** 
192.168.1.121 ->  2.2.2.121
192.168.1.122 ->  2.2.2.122
...
192.168.1.126 ->  2.2.2.126

Чи слід це робити за допомогою правил брандмауера або статичних маршрутів?

Інструкції від провайдера: ... ви заявили, що будете маршрутизувати свій додатковий блок, ось основний приклад того, що потрібно зробити для вашого обладнання

Маршрутизація: мені знадобиться, щоб ви налаштували IP з цього блоку на внутрішній інтерфейс; Я б запропонував використовувати перший застосований IP 2.2.2.121. Потім цей IP буде виконувати роль шлюзу для трафіку підмереж.

Чи слід це робити за допомогою правил брандмауера або статичних маршрутів?

Якщо статичними маршрутами ви маєте на увазі набір iproute2 , то ви маєте рацію, це можна зробити обома способами, і я поки що не міг сприймати різницю у продуктивності.

NIC приймає трафік UNICAST лише за двох обставин:

1. Він має IP-адресу, на яку спрямований трафік UNICAST;

2. Це в безладному режимі.

Неокупний режим вважається небезпекою для безпеки. Таким чином, вам слід призначити новий набір відкритих IP-адрес порту WAN на маршрутизаторі.

NETFILTER варіант

Ви можете перенаправити весь трафік на відповідний ПК за допомогою цієї єдиної команди iptables :

 iptables -t nat -A PREROUTING -d 2.2.2.121 -j DNAT --to-destination 192.168.1.121

але це залишає невелику дірку: netfilter NAT не змушує ядро ​​відповідати на запити ARP для NATED IP, дивіться тут . Тому я пропоную вам використовувати два переадресації наступним чином:

 iptables -t nat -A PREROUTING -d 2.2.2.121 -p tcp -j DNAT --to-destination 192.168.1.121
 iptables -t nat -A PREROUTING -d 2.2.2.121 -p udp -j DNAT --to-destination 192.168.1.121

Це не перенаправляє не TCP / UDP трафік, так що трафік ICMP / ARP досягає ядра маршрутизатора, який діє відповідно.

Так само і для інших ваших IP-адрес та серверів.

iproute2 варіант

Таким чином, ви взагалі не торкаєтесь iptables , а трафік ARP правильно обліковується. Команди для видачі:

 ip route add nat 2.2.2.121 via 192.168.1.121
 ip rule add nat 2.2.2.121 from 192.168.1.121

Перше правило стосується INBOUND-трафіку, друге - OUTBOUND-трафіку. Перше правило перенаправляє трафік на ваш локальний сервер, переписавши адресу призначення. Друге правило переписує адресу джерела, щоб воно виглядало так, що відповідь надходить із загальнодоступного IP 2.2.2.121 замість локального IP 192.168.1.121.

Насолоджуйтесь. І, BTW,

Наразі у нього є статична IP-адреса, призначена через DHCP, і працює чудово

що це означає???