我有一个用作路由器的 Linux 机器。该机器的“WAN”连接实际上是另一个 LAN(主 LAN)。我正尝试使用我的机器/路由器创建另一个 LAN(辅助 LAN)。辅助 LAN 的目的是将网络的一部分与主 LAN 隔离开来。当我说隔离时,我的意思是任何网络发现协议(bonjour、Windows 使用的任何协议以及使用广播地址的任何其他协议)都不会扩展到辅助 LAN 之外,并且辅助 LAN 中设备之间的任何流量都不会进入主 LAN。主要问题是我需要主 LAN 和辅助 LAN 之间的一对一 NAT,并且 MAC 地址也要通过 NAT 传递。
理想情况下,我会有三个 MAC 地址列表。第一个列表中的设备将按上述方式处理。第二个列表中的设备将无法连接到辅助 LAN(我的打印机)之外的任何设备。第三个列表中的设备实际上只位于主 LAN 中(就好像它们直接连接到同一个 WAN 端口一样)。
1)如何创建一对一 NAT?
2)我如何通过该 NAT 传递 MAC 地址?
3)(不太重要)如何设置第二段所述的基于 MAC 地址的不同路由规则?
答案1
抱歉,我没有直接回答问题,也许没有教你如何吸鸡蛋。
我知道您说过这是一次实验,但听起来这不是一个适合日常使用的好主意。我还不明白您所说的“通过 NAT 传递 MAC 地址”是什么意思。听起来您是在破解第 3 层以控制第 2 层。
相反,为了实现“安全区域”,您可以轻松创建三个子网:192.168.1.0/24、192.168.2.0/24 和 192.168.3.0/24。这些子网可以在同一个物理以太网硬件上运行。使用您的 Linux 设备根据需要在子网和防火墙流量之间路由。
您可以使用 VLAN(在交换机上创建或使用 VLAN 标记)来实现某种级别的第 2 层隔离。