Выделенный IP для веб-сервера через pfsense и драйвер 2860

У нас есть выделенная линия с 8 публичными IP-адресами. Он подключается к нашему маршрутизатору Draytek 2860.

Отсюда у нас есть внутренняя сеть, которую мы используем для наших офисных компьютеров, и еще одна сеть для нашего центра обработки данных (в котором размещено несколько серверов клиентов).

Мы установили брандмауэр pfsense, который хотели бы использовать для управления NAT и маршрутизацией для центра обработки данных.

Я хотел бы создать веб-сервер в нашем центре обработки данных за брандмауэром pfsense на одном из назначенных мне бесплатных общедоступных статических IP-адресов. Как мне это настроить?

Я думаю, мне следует настроить DMZ для всех IP-адресов, которые я хотел бы использовать в центре обработки данных на draytek, а затем настроить его как NAT 1: 1 на моем pfsense, но не уверен.

Мне нужно, чтобы весь исходящий трафик в моей внутренней сети, сети центра обработки данных и веб-сервере шел с их собственных выделенных общедоступных IP-адресов.

Вы действительно не должны размещать общедоступный веб-сервер даже за одним NAT (загруженный веб-сервер - действительно быстрый способ заполнить таблицу соединений NAT).

Если вы используете Draytek в режиме NAT, а не в режиме маршрутизации, его функция DMZ на самом деле представляет собой сопоставление NAT 1: 1 с одного из ваших общедоступных IP-адресов на определенный внутренний IP-адрес.

У меня недостаточно подробностей о ваших конкретных требованиях, но, предполагая, что техническое решение будет приемлемым, возможно, я бы подошел к проблеме именно так.

               +---------+       +---------+       +------------+
               |         | <===> | pfSense | <===> | Datacentre |
               |         |       +---------+       +------------+
               #         |
Internet <===> # Draytek |       +----------------+
               #         | <===> |                |
               |         | <===> | Office network |
               |         | <===> |                |
               +---------+       +----------------+

Я использовал # для обозначения границы NAT.

Настройте отдельную локальную сеть на Draytek для центра обработки данных.
Используйте брандмауэр pfSense в режиме маршрутизации или прозрачном режиме, а не в режиме NAT (я не знаком с pfSense конкретно, но полагаю, что это возможно).
Пусть Draytek управляет маршрутизацией между центром обработки данных и офисной сетью, используя при необходимости свой внутренний брандмауэр.
Пропустите столько общедоступных IP-адресов, сколько необходимо, через локальную сеть центра обработки данных, либо с определенной переадресацией портов, либо в качестве узла DMZ.

Если я неверно истолковал топологию вашей сети, обновите свой вопрос, добавив подходящую схему. Например, вы можете иметь в виду, что ваша выделенная линия заканчивается на Draytek. и на pfSense, поэтому они «бок о бок». Но я не думал, что вы это имели в виду.