인터넷<->(완)BRIDGED_DEVICE(lan)<->ETH_ROUTER<->LAN
질문:
BRIDGED_DEVICE의 LAN에 있는 웹 서버는 라우터를 통해 인터넷에서 접근할 수 있어야 합니다. (BRIDGED_DEVICE의 웹 서버는 공용 관리 IP가 없기 때문에 인터넷에서 접근할 수 없습니다.)
시도:
ETH_ROUTER에 보조/별칭 WAN 인터페이스를 생성합니다(예: 기본 인터페이스: eth0.1(인터넷 액세스용), 보조 인터페이스: eth0.2(BRIDGED_DEVICE의 웹 서버 액세스용))(VLAN 없음).
- eth0.1에는 공용 IP가 있습니다.
- eth0.2에는 BRIDGED_DEVICE의 서브넷에 고정 개인 IP(예: 10.0.XY)가 있습니다.
ETH_ROUTER의 Iptables: eth0.1에서 eth0.2로 포트 전달(DNAT)이 추가되었습니다.
iptables -t nat -I PREROUTING -i eth0.1 -p tcp --dport 80 -j DNAT --to-destination 10.0.X.Y
iptables -t nat -I POSTROUTING -o eth0.2 -s 10.0.X.0/24 -j MASQUERADE
상태 저장 방화벽에는 FORWARD 체인에 대한 전반적인 삭제 정책이 있으므로 다음과 같습니다.
iptables -I FORWARD -i eth0.1 -d 10.0.X.Y -p tcp --dport 80 -j ACCEPT
ETH_ROUTER에서 BRIDGED_DEVICE로 ping할 수 있지만 인터넷에서 웹 서버에 액세스할 수는 없습니다. DNAT 규칙에 대한 패킷 수가 증가하고 있지만 나중에 ETH_ROUTER에서 어디로 사라지는지 잘 모르겠습니다.
ETH_ROUTER는 이를 달성하도록 구성할 수 있는 유일한 장치입니다.
이 상황에 대해 잘 알고 계시다면 제가 여기서 놓치고 있거나 잘못하고 있는 부분을 제안해 주시거나 디버깅 기술을 제안해 주시겠습니까?
답변1
브리지 장치의 기본 게이트웨이와 브리지 장치에서 인터넷으로의 전달 규칙을 확인하세요. 인터넷 소스 IP에 관심이 없다면 라우터의 소스 NAT를 브리지 장치에 추가할 수 있습니다.