インターネット<->(ワン)BRIDGED_DEVICE(lan)<->ETH_ROUTER<->LAN
質問:
BRIDGED_DEVICEのLANにあるWebサーバーは、ルーターを介してインターネットからアクセスできる必要があります。 (BRIDGED_DEVICEのWebサーバーにはパブリック管理IPがないため、インターネットからアクセスできません。)
試み:
ETH_ROUTERにセカンダリ/エイリアスWANインターフェイスを作成します(たとえば、プライマリインターフェイス:eth0.1(インターネットアクセス用)、セカンダリインターフェイス:eth0.2(BRIDGED_DEVICEのWebサーバーアクセス用))(VLANなし)。
- eth0.1にはパブリックIPがあります。
- eth0.2には、BRIDGED_DEVICEのサブネットに固定プライベートIP(10.0.XYなど)があります。
ETH_ROUTERのIptables:eth0.1からeth0.2へのポート転送(DNAT)が追加されました。
iptables -t nat -I PREROUTING -i eth0.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.X.Y
iptables -t nat -I POSTROUTING -o eth0.2 -s 10.0.X.0/24 -j MASQUERADE
ステートフルファイアウォールには、FORWARDチェーンの全体的な削除ポリシーがあるため、次のようになります。
iptables -I FORWARD -i eth0.1 -d 10.0.X.Y -p tcp --dport 80 -j ACCEPT
ETH_ROUTERからBRIDGED_DEVICEにpingできますが、インターネットからWebサーバーにアクセスすることはできません。 DNAT ルールのパケット数が増えていますが、後で ETH_ROUTER からどこに消えるのか分かりません。
ETH_ROUTERは、これを達成するように設定できる唯一のデバイスです。
この状況に精通している場合は、私がここで見逃しているか間違っている部分を提案してください、またはデバッグ技術を提案してください。
ベストアンサー1
ブリッジデバイスのデフォルトゲートウェイと、ブリッジデバイスからインターネットへの転送ルールを確認してください。インターネットソースIPに興味がない場合は、ルータのソースNATをブリッジデバイスに追加できます。