我是否應該將具有公共 IP 地址的主機配置為接受來自私有 IP 地址的流量？

我將 ’net 與一個公共靜態 IP（我的路由器用於 NAT 的 IP 地址）和一個 /29 子網（用於路由器後面的機器）連接起來。

在我的路由器上，我有：

#sh ip route | inc x.x
    x.x.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       x.x.196.62/32 is directly connected, Dialer1
C       x.x.206.72/29 is directly connected, BVI2


#sh run int dial 1 | inc zone
zone-member security out-zone
#sh run int bvi 2 | inc zone
zone-member security in-zone

區域對是相當嚴格的。我想放寬對首先通過遠端訪問 VPN 連接的客戶端的限制：

#sh run int virtual-template 1
zone-member security relaxed-zone

現在必須為通過 VPN 連接的客戶端分配一個私有 IP 地址。（我不會為客戶分配公共地址，對吧？）：

# sh ip local pool

Pool                     Begin           End             Free  In use   Blocked
RANET100                 192.168.100.230 192.168.100.250   20       1       0

所以現在，如果我想從 192.168.100.230 獲取到 xy206.73 的數據包，那很好 - 路由器有它需要的資訊。但這意味著主機 xy206.73 將必須允許從私有地址到其公共範圍 IP 地址的流量……它通常會被配置為忽略！

所以這是一個骯髒的黑客，對吧？什麼是真道 (TM)？我是否應該只將具有公共 IP 地址的主機多宿主，以便它們也具有私有 IP 地址？

有這個設置是完全合理的。這樣考慮：

您的“內部網路”由多個網路組成：

• 全域可路由 /29
• VPN 使用者的本地可路由 /24

您的公共主機並不關心它是否從 RFC1918 地址獲得連接，除非您以這種方式配置它。就讓它發生吧。

無需配置其他 IP。

“但這意味著主機 xy206.73 必須允許從私有地址到其公共範圍 IP 地址的流量”

不，它不會，這意味著主機將有兩個 IP 地址，它們恰好對整個 Internet 有不同的路由期望。

沒有理由不在一個介面上放置多個 IP 地址。這完全有可能，事實上，IPv6 幾乎是通用的。只需確保您的傳出連接地址選擇規則為正確的任務使用正確的地址。

引用自：https://serverfault.com/questions/292517