Security
我是否應該將具有公共 IP 地址的主機配置為接受來自私有 IP 地址的流量?
我將 ’net 與一個公共靜態 IP(我的路由器用於 NAT 的 IP 地址)和一個 /29 子網(用於路由器後面的機器)連接起來。
在我的路由器上,我有:
#sh ip route | inc x.x x.x.0.0/16 is variably subnetted, 3 subnets, 2 masks C x.x.196.62/32 is directly connected, Dialer1 C x.x.206.72/29 is directly connected, BVI2 #sh run int dial 1 | inc zone zone-member security out-zone #sh run int bvi 2 | inc zone zone-member security in-zone
區域對是相當嚴格的。我想放寬對首先通過遠端訪問 VPN 連接的客戶端的限制:
#sh run int virtual-template 1 zone-member security relaxed-zone
現在必須為通過 VPN 連接的客戶端分配一個私有 IP 地址。(我不會為客戶分配公共地址,對吧?):
# sh ip local pool Pool Begin End Free In use Blocked RANET100 192.168.100.230 192.168.100.250 20 1 0
所以現在,如果我想從 192.168.100.230 獲取到 xy206.73 的數據包,那很好 - 路由器有它需要的資訊。但這意味著主機 xy206.73 將必須允許從私有地址到其公共範圍 IP 地址的流量……它通常會被配置為忽略!
所以這是一個骯髒的黑客,對吧?什麼是真道 (TM)?我是否應該只將具有公共 IP 地址的主機多宿主,以便它們也具有私有 IP 地址?
有這個設置是完全合理的。這樣考慮:
您的“內部網路”由多個網路組成:
- 全域可路由 /29
- VPN 使用者的本地可路由 /24
您的公共主機並不關心它是否從 RFC1918 地址獲得連接,除非您以這種方式配置它。就讓它發生吧。
無需配置其他 IP。
“但這意味著主機 xy206.73 必須允許從私有地址到其公共範圍 IP 地址的流量”
不,它不會,這意味著主機將有兩個 IP 地址,它們恰好對整個 Internet 有不同的路由期望。
沒有理由不在一個介面上放置多個 IP 地址。這完全有可能,事實上,IPv6 幾乎是通用的。只需確保您的傳出連接地址選擇規則為正確的任務使用正確的地址。