我有一个 Linux NAT 防火墙,用于虚拟机基础架构。目前,所有虚拟机都使用 NAT,但我希望其中一些虚拟机使用未经过 NAT 的公共 IP。我有一系列 IP:208.xx129-140,子网 255.255.255.240。目前,这些 IP 位于防火墙的 WAN 接口上。我想将一些 IP 移到防火墙后面。
我可以只更改其中几个 IP 的路由吗?我需要更改子网掩码吗?
答案1
您可以通过创建较小的子网来实现这一点。例如,如果您有一个 /24 网络,您可以从这个子网中划出一个小块,例如 /29 网络。
例如,如果8.8.8.0/24是您的公共网络。您可以使用第二个接口8.8.8.240/29。然后您将为该接口分配 8.8.8.241,这将是客户端的网关。然后您将有 5 个剩余的 IP 可以使用。
[kbrandt@alpine: ~] ipcalc 8.8.8.240/29
Address: 8.8.8.240 00001000.00001000.00001000.11110 000
Netmask: 255.255.255.248 = 29 11111111.11111111.11111111.11111 000
Wildcard: 0.0.0.7 00000000.00000000.00000000.00000 111
=>
Network: 8.8.8.240/29 00001000.00001000.00001000.11110 000
HostMin: 8.8.8.241 00001000.00001000.00001000.11110 001
HostMax: 8.8.8.246 00001000.00001000.00001000.11110 110
Broadcast: 8.8.8.247 00001000.00001000.00001000.11110 111
Hosts/Net: 6 Class A
即使你可能在与 /29 重叠的不同接口上有 /24 网络,但这并不重要,因为更具体(你可能认为它更小)的路线总是获胜请记住,当您这样做时,您会丢失 2 个可用的 IP 地址,一个用于网络,一个用于广播。
学习子网划分是一项很有价值的技能,我们对此有自己的 Mega 答案IPv4 子网划分如何工作?。
另一个选项是不对 IP 块进行任何 NAT,而只对特定 IP 使用 NAT。这种方法很有效,因为 NAT 规则在路由之前发生,因此优先执行。
答案2
假设您有 >1 个 IP,您可以简单地将所有端口打开到内部 IP(称为 1to1 NAT),并使用服务器 FW 进行过滤。您可以通过 LAN 传递所有 IP,但这需要我们知道您拥有什么路由器。