web-dev-qa-db-ja.com

新しいサブネットワークを作成せずにファイアウォールを配置する

複数のIPアドレスを持つネットワークがいくつかありますが、ネットワークのエッジルーター(LANとISPの両方に接続するデバイス)に使用される機器についてはまったく選択の余地がありません。ネットワークのエッジにあるシステムはファイアウォールには不十分なので、Linuxボックスを使用してファイアウォール機能を実行したいと思います。しかし、私がしていることnotやりたいのはサブネットです。これを実行する必要があるネットワークの1つは/ 29で、もう1つは/ 28です。

この例では、これらのネットワークを10.0.0.0/29(ネットワークA)および10.0.1.0/28(ネットワークB)と呼びます。

ネットワークAとBの両方で、最後に使用可能なIPアドレスは、ISPの必要なゲートウェイデバイス(ケーブルモデムと4ポートイーサネットスイッチの組み合わせ)に使用されるものです。したがって、Aでは10.0.0.6であり、Bでは10.0.1.14です。 (これらのデバイスは、NATゲートウェイにも要求されたアドレスを使用して、NAT機能を実行することにも注意してください。)

ここで、ネットワークAにシステムを配置し、IP 10.0.0.1を指定して、ネットワーク上の他のホスト(つまり、10.0.0.2、3、4、および5)のファイアウォールにします。

しかし、どういうわけか私はそれを行う方法を理解していません。 ISPのゲートウェイデバイスでルーティングテーブルを制御できないため、ネットワークで制御しているゲートウェイを介してパケットをネットワークにルーティングするように指示できません。

物理的には、ネットワーク接続は同軸ケーブルでケーブルモデムに接続されます。ケーブルモデムの4つのギガビットポートは、ネットワーク全体にファンアウトされています。

  • 1つは、ブリッジと4つの追加ポートがあるサーバーシステムに接続されています。
  • 1つはワイヤレスルーターに接続されており、自宅の2階にあるワイヤレスネットワークに給電します。
  • 1つはワークステーションに接続されています。
  • 1つはプリンターに接続されています。

論理的には、これは1つのネットワークセグメントです。私がやりたいのは、サーバーを単一のポートでデバイスに接続し、サーバーに複数のポートのネットワークカードをネットワークに供給させることです。しかし、IPを壊さずにそれを行う方法を考えることはできません。私はこのネットワークで/ 28を渡され(そして前述したように、他のネットワークでは/ 29)、サブネット化のためにIPアドレスを失うわけにはいかないので、ほとんどすべてを使用しています。

何か案は?また、関連するものを省略した場合は、お知らせください。

4
Michael Trausch

ブリッジファイアウォールを探しているようですね。

http://www.cryptolife.org/index.php/Linux_Bridge_Firewall

下の図は上のリンクからのものです:

enter image description here

http://www.linuxfoundation.org/collaborate/workgroups/networking/bridge

「ブリッジは、プロトコルに依存しない方法で2つのイーサネットセグメントを接続する方法です。パケットは、IPアドレス(ルーターなど)ではなくイーサネットアドレスに基づいて転送されます。転送はレイヤー2で行われるため、すべてのプロトコルが透過的に通過できます。橋。」

5
Tate Hansen