Наш интернет-провайдер назначил нам 16 общедоступных IP-адресов, которые мы хотим назначить хостам за пожарным ящиком Watchguard x750e.
IP-адреса: x.x.x.176 / 28, из которых x.x.x.177 - шлюз.
На хостах будет работать программное обеспечение, которому необходимо напрямую назначить общедоступный IP-адрес, поэтому NAT 1: 1 не подходит.
Я нашел этот документ, в котором приводятся примеры того, как назначать общедоступные IP-адреса хостам за брандмауэром, используя дополнительный интерфейс: http://www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_(en-US).pdf
Однако я не могу реализовать сценарий 1, так как он не позволяет мне использовать одну и ту же подсеть на обоих интерфейсах. Что касается сценария 2, разделение диапазона адресов на 2 подсети уменьшит количество используемых хостов на дополнительном интерфейсе до 5 (8 - сеть - широковещательная передача - IP-адрес дополнительного интерфейса).
Я убежден, что должен быть лучший способ решить эту проблему и максимально увеличить количество используемых IP-адресов, но я не очень хорошо знаком с этим конкретным межсетевым экраном.
Есть ли какие-либо предложения о том, как держать хосты за брандмауэром с общедоступными IP-адресами, одновременно увеличивая количество используемых IP-адресов?
Спасибо
У вас должна быть возможность использовать режим Drop-In и вторичные сети, чтобы ваши общедоступные и частные IP-адреса могли использоваться на каждом из интерфейсов. Затем вы можете выполнить любой NAT, необходимый для частных IP-адресов, и не использовать NAT для общедоступных IP-адресов. Частный IP-адрес, который вы настраиваете для каждого интерфейса Firebox, станет DG для хостов с частным адресом, подключенных к этому интерфейсу. Общедоступный IP-адрес, настроенный на вкладке «Интерфейсы», станет DG для публично адресованных хостов на каждом интерфейсе Firebox. Режим Drop-In позволит вам использовать одно и то же пространство общедоступных адресов на каждом интерфейсе без необходимости разбивать блок адресов на подсети.
Я не могу говорить о возможности этого на Firebox с собственной прошивкой, но у меня есть аналогичная установка на x750e, преобразованном в pfSense.
Я создал мост между интерфейсом WAN и интерфейсом, к которому подключены устройства с IP-адресами WAN. Это имеет то преимущество, что трафик принудительно проходит через брандмауэр для доступа к этим серверам. Для этого вы можете настроить шлюз этих устройств на IP-адрес WAN-интерфейса.
Важно помнить, что сторона WAN и сторона устройств должны коммутироваться отдельно или, по крайней мере, отдельные VLAN на одном коммутаторе, иначе трафик не может проходить через брандмауэр.