Security

我是否應該將具有公共 IP 地址的主機配置為接受來自私有 IP 地址的流量?

  • July 28, 2011

我將 ’net 與一個公共靜態 IP(我的路由器用於 NAT 的 IP 地址)和一個 /29 子網(用於路由器後面的機器)連接起來。

在我的路由器上,我有:

#sh ip route | inc x.x
    x.x.0.0/16 is variably subnetted, 3 subnets, 2 masks
C       x.x.196.62/32 is directly connected, Dialer1
C       x.x.206.72/29 is directly connected, BVI2


#sh run int dial 1 | inc zone
zone-member security out-zone
#sh run int bvi 2 | inc zone
zone-member security in-zone

區域對是相當嚴格的。我想放寬對首先通過遠端訪問 VPN 連接的客戶端的限制:

#sh run int virtual-template 1
zone-member security relaxed-zone

現在必須為通過 VPN 連接的客戶端分配一個私有 IP 地址。(我不會為客戶分配公共地址,對吧?):

# sh ip local pool

Pool                     Begin           End             Free  In use   Blocked
RANET100                 192.168.100.230 192.168.100.250   20       1       0

所以現在,如果我想從 192.168.100.230 獲取到 xy206.73 的數據包,那很好 - 路由器有它需要的資訊。但這意味著主機 xy206.73 將必須允許從私有地址到其公共範圍 IP 地址的流量……它通常會被配置為忽略!

所以這是一個骯髒的黑客,對吧?什麼是真道 (TM)?我是否應該只將具有公共 IP 地址的主機多宿主,以便它們也具有私有 IP 地址?

有這個設置是完全合理的。這樣考慮:

您的“內部網路”由多個網路組成:

  • 全域可路由 /29
  • VPN 使用者的本地可路由 /24

您的公共主機並不關心它是否從 RFC1918 地址獲得連接,除非您以這種方式配置它。就讓它發生吧。

無需配置其他 IP。

“但這意味著主機 xy206.73 必須允許從私有地址到其公共範圍 IP 地址的流量”

不,它不會,這意味著主機將有兩個 IP 地址,它們恰好對整個 Internet 有不同的路由期望。

沒有理由不在一個介面上放置多個 IP 地址。這完全有可能,事實上,IPv6 幾乎是通用的。只需確保您的傳出連接地址選擇規則為正確的任務使用正確的地址。

引用自:https://serverfault.com/questions/292517