我在同一个托管服务提供商处有 3 台独立的 CentOS 服务器。托管公司无法为这些设备提供防火墙,只能提供 iptables。因此,我想购买另一台服务器,并将该服务器作为防火墙(以及一些监控工具,如 Snort),用于我已经拥有的前 3 台服务器。我在任何服务器上都没有私有 IP,它们不在私有网络中。如果它们不在私有网络中,是否可以通过“防火墙服务器”路由所有流量?
答案1
在这里,公网和私网其实并不重要,你可以使用其中任何一种。但是,我认为你会发现,如果不将现有服务器放入专用子网(私网或公网),而新服务器/防火墙充当网关,那么实现你想要的功能将非常棘手,因为这是让流量系统地通过防火墙的最自然方式。
问题是,如果有其他东西充当包含 3 台服务器和防火墙的子网前的网关,当它可以通过连接的网络直接访问这 3 台服务器时,配置这个“其他东西”以首先将流量发送到防火墙会很棘手。
答案2
可以使用桥接防火墙来实现。我不得不在一个旧的工作中心这样做,因为我们的部门不允许创建私有网络,所以我在我们网络外部的链接和内部的所有东西之间设置了一个桥接防火墙(linux iptables 和桥接软件)。你必须做一些额外的技巧才能做到这一点,但它确实有效。
这里有一个链接看起来相当准确。不过,我已经有一段时间没自己做过了(至少 10 年了)。