мой интернет-провайдер только что предоставил мне подсеть общедоступных IP-адресов и не замужем общедоступный IP-адрес в их сети, чтобы я мог их маршрутизировать. Я пытаюсь использовать для этого pfsense. В основном я хочу предоставить общедоступные IP-адреса, предоставленные в Интернет (входящие и исходящие). Позже я, возможно, захочу применить некоторые правила брандмауэра, но пока все будет хорошо.
Кроме того, я хотел бы создать подсеть с NAT в диапазоне 10.99.99.0/24, который я буду использовать для стандартных клиентских компьютеров. (эти компьютеры также должны иметь возможность открывать порты с помощью UPNP и т. д.)
Я бы подумал, что это довольно стандартно, но я не могу найти никакой прямой документации по этому поводу.
Когда я перехожу к маршрутизации, выясняется, что она разрешает только исходящий трафик, но не входящий. Я бы подумал, что все, что мне нужно сделать, это создать виртуальный IP-адрес в общедоступной подсети, которую они мне предоставили, и маршрут от их общедоступной сети к ней, и тогда это будет шлюз для всех остальных компьютеров в этой общедоступной подсети? (а затем настроить исходящие правила).
Возможно ли это даже с двумя сетевыми картами, или мне лучше перейти на 3 и настроить его таким образом? (Все еще не понимает, как заставить pfsense маршрутизировать между двумя общедоступными подсетями.)
Заранее благодарим за любую помощь и предложения, которые вы можете предоставить!
Хорошо, это довольно стандартная "корпоративная" настройка ISP.
Назначьте один IP-адрес (возможно, сеть / 30) вашему интерфейсу WAN. Затем создайте виртуальный IP-псевдоним IP для каждого IP-адреса в вашем блоке маршрутизируемых общедоступных IP-адресов.
Как только вы это сделаете, вы можете использовать эти виртуальные IP-адреса в правилах NAT, переадресации портов, VPN и т. Д. Похоже, вы пытаетесь применить эти общедоступные IP-адреса непосредственно к серверам внутри вашей сети. Скорее всего, этого делать не нужно. Вы можете настроить правила NAT 1: 1 для серверов, чтобы «назначать» им общедоступные IP-адреса, и исходящий трафик с этих серверов будет поступать с надлежащего общедоступного IP-адреса.
Для этого типа настройки вам не нужно возиться с разделом маршрутизации файла config.
«Единый IP-адрес», который они дают вам, вероятно, будет IP-адресом их маршрутизатора, вы должны отправлять туда весь внешний трафик. Он должен быть подключен к вашей «общедоступной» сети, а ваша «частная» сеть будет подключена (через NAT) к предыдущей.
«Полная» настройка означает, что один маршрутизатор / брандмауэр подключен к внешнему миру и общедоступной внутренней сети (ваша «демилитаризованная зона»), а другой брандмауэр (выполняющий NAT) соединяет вашу частную сеть с вашей общедоступной. Часто упрощается до единого устройства с тремя сетевыми подключениями и выполнения задач, описанных для обоих выше (дешевле, проще в управлении).