我承认我有点迷失。
我们的 ISP 为我们的 ADSL2 帐户提供了几个额外的 IP 地址。他们发送的电子邮件指定了子网为 255.255.255.240 的 IP 地址:
203.214.69.1/28 至 203.214.69.14/28 网关:203.206.182.192
我试图将它们作为别名添加到我们的防火墙配置中的连接中(这样我随后可以创建一些 1-1 NAT 规则来公开我们的内部网络服务器)。
在我们的防火墙的连接配置中添加别名时,我应该使用 28 还是 32 作为子网掩码?
互联网地址怎么会有 28 这个子网?也许我大错特错,但我认为互联网在地址方面具有最高的分辨率。
好的 - 把它给我吧。
感谢大家,
阿什利
答案1
ISP 所做的就是通过标准连接路由这些额外的 IP 地址。实际上,您设置的网络掩码并不重要,只要它不大于 ISP 期望的值即可。我在处理它们时将它们全部指定为 /32 额外地址。
答案2
阿什利,
我认为您应该在防火墙上用 /32 子网掩码定义别名。您的防火墙可能会将公共子网的所有请求转发到您的(例如)Web 服务器。当然,防火墙的外部接口将具有 /28 网络掩码。
但这很大程度上取决于您的防火墙。您使用的是什么产品?
HTH,PEra
答案3
所有地址的子网都是相同的,因为它们属于一起。
/28 是CIDR 表示法描述子网掩码 255.255.255.240。
答案4
为了定义 NAT,每个 IP必须定义为 /32。如果您将它们定义为 /28,则发往该 CIDR 范围内所有 16 个 IP 的流量都将与您在策略中定义的第一个 NAT 匹配。
编辑:扩展上述内容;这可能因平台而异,但根据我在 Checkpoint NAT 上的经验,请考虑以下内容。(稍后我也将撰写有关思科的文章;表达起来需要多花点功夫)。
就本例而言,Checkpoint NAT 规则可考虑采用以下形式:
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
在本例中,我们关注的是“原始目的地”。假设我们正在为目的地为 203.214.69.1 的流量创建一条规则,该规则将被重定向到内部 Web 服务器。
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
该规则的问题在于 203.214.69.1/28 将匹配发往以下范围内任何 IP 的流量:[ 203.214.69.0 ... 203.214.69.15 ]
并且任何后续规则(例如,将 SMTP 流量重定向到 203.214.69.2 到内部服务器 192.168.1.2)都不会被命中。
需要将此前缀定义为 /28 的情况包括:
用于路由时。听起来您只有一个 ISP,因此我希望您将有一个指向 ISP 默认网关的静态默认路由,并且您的 ISP 将有一个指向您面向互联网的设备(防火墙?)的分配 /28 的静态路由。在这种情况下,无论您如何在防火墙策略中定义地址,所有这些 IP 的流量都将被路由到您的互联网网关。
当您将其用作真正的第 3 层子网时,所有主机都需要位于同一广播域中。正如您所说,这些地址将用于 NAT 到内部 Web 服务器,这种情况也不适用。