Eu acredito pelo contrario que voce deveria utilizar seu router pra cuidar dos seus IP´s.
Sendo que não ficaria nenhum IP real em maquina alguma mas que atravez de SNAT´s e DNAT´s o firewall virtualmente atribuisse um IP real as maquinas que voce quer.
Já usei esse setup é ficou muito bom, mas você precisa que fisicamente o router so seja acessivel atravez do firewall, ligando-os via um cabo crossover.
Entao seria quebrado seu bloco de IP´s dentro do router e feito rotas da suas "redes" todas para seu Firewall...
Assim na prática seu firewall seria o único com IP real é o único com todos os IP´s do seu range, virtualmente seu firewall teria todos os IP´s pra ele, assim se voce fizer isso:
Código :
iptables -t nat -A PREROUTING -d 200.z.x.y -j DNAT --to 192.168.1.100 iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to 200.z.x.y
A maquina 192.168.1.100 teria um IP valido pra quem a ve de fora.
Pra min esse é um bom setup porque voce não precisa necessariamente atribuir um IP pra maquina mas pode fazer DNAT limitando uma porta por exemplo...
Código :
iptables -t nat -A PREROUTING -p tcp --dport 80-d 200.z.x.y -j DNAT --to 192.168.1.100:80 iptables -t nat -A POSTROUTING -s 192.168.1.100 -p tcp --sport 80 -j SNAT --to 200.z.x.y:80