nftables에서 해당 인터페이스에 여러 IP 주소가 할당된 경우 패킷의 수신 IP 주소를 어떻게 얻습니까?

Question

라우터에는 2개의 IP 주소(192.168.20.253 및 192.168.20.254)가 있습니다. 둘 다... 동일한 인터페이스에 할당됩니다.

그래서 우리는 다음과 같은 것을 가지고 있습니다:

# ip addr
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 08:00:27:f8:ed:0e brd ff:ff:ff:ff:ff:ff
    inet 192.168.20.254/24 brd 192.168.20.255 scope global enp0s8
       valid_lft forever preferred_lft forever
    inet 192.168.20.253/24 brd 192.168.20.255 scope global secondary enp0s8
       valid_lft forever preferred_lft forever

따라서 둘 다 동일한 물리적 이더넷 포트(L1)와 동일한 MAC 주소(L2)에 있습니다.

클라이언트가 .253을 통해 인터넷에 액세스하는 것을 방지하고 싶습니다.

즉, 클라이언트는 자신의 컴퓨터에 게이트웨이를 다음 192.168.20.253과 같이 구성할 수 있습니다.192.168.20.254

라우터의 nftables 규칙 세트에서 어떤 패킷을 구별할 수 있기를 원합니다.~을 통해 들어오다.253

여기서 무엇이 잘못되었는지 살펴보겠습니다.

...

한 가지 이유는 나중에 .253을 다른 것으로 쉽게 변경할 수 있기를 원하기 때문입니다(반면 .254는 "고정"되어 있음).

간단한 DNS 서버를 실행하고 클라이언트가 IP 대신 DNS 이름을 사용하여 연결하도록 합니다.

하지만 나는 이것을 일반적인 방법으로 달성할 수 없다는 것을 안다.

귀하의 시나리오에서 일반적인 접근 방식은 대상 IP를 확인하고 DNS를 설정하는 것입니다. 찾다.

두 번째 인터페이스를 만들어서 .253에 할당해 보겠습니다. 그러면 문제가 해결될 것입니다.

물리계층과 데이터링크계층에서 사용자를 분리하려면 별도의 인터페이스만 있으면 됩니다.

또한 사용 중인 IP 주소는 모두 동일한 IP 서브넷에 있으므로 두 개의 인터페이스가 있어도 의미가 없으며 두 인터페이스를 통해 동일한 서브넷에 액세스할 때 라우팅 문제도 발생합니다.

/31 접두사보다 큰 다른 서브넷에 192.168.20.253 및 192.168.20.254를 배치할 수 없습니다.

Answer 1