Мы только что подписались на бизнес-трансляцию с 5 статическими IP-адресами и внутренней частной сетью. Мы - малый бизнес, и я надеюсь, что мы сможем приобрести маршрутизатор / брандмауэр, который просто позволит мне указать некоторые «пары» внешних IP / портов и перенаправить их на внутренние «пары» IP / Port.
Наш старый модем T1 (netopia) справился бы с этим довольно легко, и я не думал, что это будет проблемой. Сейчас я смотрю в Интернете брандмауэры и т. Д. И не могу найти что-то, что с легкостью могло бы это сделать. Может ли кто-нибудь порекомендовать простое (надеюсь, не слишком дорогое) решение?
Вам нужен брандмауэр, который будет выполнять NAT 1-к-1. Я использую для этого устройства Watchguard XTM 2 и 3. Вы не открываете все порты, так как это процесс, состоящий из двух частей. Первая часть - это настройка SNAT, от публичного к частному. Затем вам необходимо создать правило брандмауэра, которое определяет, какой трафик может проходить через это правило SNAT. Этот сценарий полезен для нескольких серверов, которые, например, должны обслуживать 80/443.
Если у вас есть один сервер, который должен обслуживать 80/443, а другой - FTP, вы можете настроить правила NAT с одним общедоступным IP-адресом для обслуживания обоих внутренних серверов, поскольку порты разные.
Некоторое время назад я решил аналогичную ситуацию с небольшим сервером Linux, настроенным как межсетевой экран моста за маршрутизатором Comcast - две сетевые карты, одна подключена непосредственно к маршрутизатору, а другая - к моей внутренней сети. Таким образом, я смог фильтровать трафик после того, как маршрутизатор Comcast выполнил NAT, без необходимости выполнять еще один шаг NAT.
Вот хороший документ по настройке межсетевого экрана под Debian, но в любом крупном дистрибутиве должны быть необходимые модули и инструменты: http://www.annahegedus.com/tutorials/60-bridge-firewall
В зависимости от ваших требований вы можете делать все, что захотите, с чем угодно, от недорогого домашнего офисного продукта до высококачественного корпоративного продукта. Существуют буквально тысячи продуктов, которые удовлетворят ваши потребности, и все они имеют свои собственные фан-базы. Лучше всего рассчитать свой бюджет на продукт, а затем посмотреть, что вы можете себе позволить. Я лично поклонник линейки продуктов Watchguard, специально для вас я бы, вероятно, порекомендовал продукт XTM3, но это может выходить за рамки вашего бюджета.
У меня была такая же проблема, но оказалось, что решение ЕСТЬ. Эта статья было для меня недостающим звеном. Оказывается, это очень просто, и модем полностью оборудован для этого.
Суть в том, что Comcast назначает статический IP-адрес на стороне LAN (то есть внутренней сети), а не на стороне WAN. Поэтому спросите Comcast, какой у вас блок статических IP-адресов, затем настройте машину, которую вы хотите, на этом IP-адресе, указав IP-адрес и маску подсети от маршрутизатора и используйте IP-адрес маршрутизатора в качестве настройки шлюза для машины.
Затем все, что вам нужно сделать, это настроить правила брандмауэра в меню Firewall -> Port Configuration -> True Static IP Port Mgmt, если вам нужен брандмауэр. Или, если вы этого не хотите, установите флажок «Отключить брандмауэр только для подсети с истинным статическим IP» на первой странице брандмауэра.
Видеть статья подробнее и скриншоты.