web-dev-qa-db-ja.com

ルーター/ファイアウォールで接続された異なるVLAN上のサブネット間のルーティング

ルーター/ファイアウォールに接続して2つの間のトラフィックをフィルタリングしたい2つのネットワークがあります。一方のネットワークはパブリックサブネット上にあり、たとえば64.22.12.192/27であり、もう一方のネットワークはプライベートサブネット上にあります192.168.0.0/24。これらは、3つのイーサネットポートを備えたルーターを介して接続されます。1つはインターネットに接続され、他の2つはパブリックサブネットとプライベートサブネットに接続され、独自のVLAN上にあります。プライベートサブネットをパブリックネットワークから見えるようにするにはどうすればよいですか?ネットワーク図は次のとおりです。

  • Router1> eth0 ---インターネットに接続されています
  • Router1> eth1 --- 64.22.12.193/27に接続VLAN 64サブネット64.22.12.193/27
  • Router1> eth3 --- 192.168.0.1/24接続済みVLAN 192サブネット192.168.0.0/24

ルーターで192.168.0.0/2464.22.12.193に静的ルーティングしてみました。192.168.0.1にもルーティングしてみました。どちらも機能しませんでした。

サブネット間のルーターにファイアウォールルールを設定できるようにするため、2つのサブネット間のトラフィックがルーターを通過するようにします。

  1. 静的ルートを試しましたが、機能しませんでした。何か問題がありますか?

  2. NATを使用できることはわかっていますが、個々のプライベートIPマシンにアクセスするには、1対1のNAT)を設定する必要があり、貴重な限られたパブリックIPを使い果たしてしまいます。

  3. これを実現するには、トンネルを設定する必要がありますか?トンネルはファイアウォールルールをバイパスしませんか?

IPルートショー:

default via 66.22.32.137 dev eth0  proto zebra 
192.168.0.0/24 dev eth3  proto kernel  scope link  src 192.168.0.1
64.22.12.192/27 dev eth1  proto kernel  scope link  src 64.22.12.193
66.22.32.136/29 dev eth0  proto kernel  scope link  src 66.22.32.141
127.0.0.0/8 dev lo  proto kernel  scope link  src 127.0.0.1
networkingfirewallroutingvlansubnet
2
Stallionz

静的ルートを試しましたが、機能しませんでした

静的ルートは必要ありません。システムには、必要なすべてのルートがすでにあります。 Linuxは、ローカルに接続されているすべてのネットワークのルートを自動的に構成します。 ip_forwardが有効になっていて、現在トラフィックをブロックしているファイアウォールルールがない場合、すべてが正常に機能するはずです。

これを実現するには、トンネルを設定する必要がありますか?

いいえ、トンネルは必要ありません。

NATを使用できることはわかっていますが、個々のプライベートIPマシンにアクセスするために

NATルールは必要ありません。実際、SNAT/MASQの設定が広すぎる場合は、問題になる可能性があります。

64.22.12.192/27および192.168.0.0/24のすべてのクライアントがLinuxボックスをデフォルトゲートウェイとして使用しており、eth3から送信されるトラフィックの送信元アドレスを変更するためのSNAT/MASQルールが設定されていないと仮定します- > eth1通信は正常に機能するはずです。

2
Zoredache