Настройка файла маски shorewall для брандмауэра с тремя интерфейсами, подключенного к маршрутизатору с одним статическим IP-адресом

Я пытаюсь следовать руководству по настройке «трехинтерфейсного межсетевого экрана» под управлением Shorewall версии 5.0.4. ( https://shorewall.org/three-interface.htm ). У меня также есть коммутатор Procurve, который поддерживает Ethernet.

У меня есть один статический IP-адрес от моего интернет-провайдера, который мой маршрутизатор использует вместе со своим адресом шлюза и двумя адресами DNS-серверов, которые он использует.

Я запутался, пытаясь расшифровать, должны ли VLAN на моем коммутаторе использовать какую-либо из этих сведений? Должны ли мои VLAN или один из двух других сетевых интерфейсов для моей LAN и DMZ знать о моем маршрутизаторе ISP?

Это приводит меня к файлу masq shorewall.

В руководстве указано следующее:

Если ваш внешний IP-адрес статический, то, если вы используете Shorewall 5.0.13 или более ранней версии, вы можете ввести наш статический IP-адрес в третьем столбце файла / etc. / shorewall / masq, если хотите, хотя ваш брандмауэр будет работать нормально, если вы оставите этот столбец пустым (Masquerade). Ввод вашего статического IP-адреса в столбец 3 (SNAT) делает обработку исходящих пакетов немного более эффективной.

#INTERFACE:DEST    SOURCE    ADDRESS    PROTO  PORT(S)  IPSEC  MARK  USER/  SWITCH  ORIGINAL
#                      GROUP    DEST
etho1      10.0.0.0/8,\
      169.254.0.0/16,\
      172.16.0.0/12,\
      192.168.0.0/16

Я думаю, что эти записи включают только подсети, которые я намерен потенциально использовать в моей VLAN.Если это так, является ли статический адрес, упомянутый в руководстве, статическим IP-адресом моего внутреннего IP-адреса брандмауэра или его внешнего IP-адреса?