我们从 ISP 获得了 16 个 IP 地址,并且正在设置 SonicWall 防火墙。我想让 SonicWall 为 LAN 执行 NAT,但充当防火墙仅有的(无 NAT)对于使用 16 个地址中的部分地址的服务器。我该如何设置?如果我将 WAN 的子网设置为包含 16 个 IP,SonicWall 将不会将流量路由到 LAN 接口。我是否应该将 WAN 子网设置为仅包含我们专用于 NAT 的子网,然后将其他子网保留在 LAN 上?
相关点:如何为 SonicWall LAN 接口设置多个 IP 地址?
澄清:服务器没有经过 NAT;它们直接使用其公共 IP。
答案1
正如 Tom 在评论中所建议的,您需要做的是为(我希望)DMZ 面向公众的服务器设置静态 1:1 NAT。您的源 NAT(可能是多对一)将允许您的 LAN 子网相应地作为您的 /16 之一进行 NAT。
例如:
- LAN子网:192.168.0.0/24
- DMZ 子网:192.168.1.0/24
- WAN 子网:200.200.200.0/16
通过在单独的子网上设置 LAN 和 DMZ 网络(无论您使用 VLAN 还是防火墙上的单独接口;它应该有一个“DMZ”或“可选”接口),这些接口由防火墙路由和过滤,您现在可以设置 1:1 NAT 以静态地将 DMZ 地址分配给公共地址,但也可以设置过滤以允许来自互联网的入站流量和从您的 LAN(反之亦然,比如说,如果您的一台服务器需要在内部与域控制器通信)仅在您希望的端口和源 IP 地址上。
对于世界其他地方来说,您的服务器似乎位于“外部”,但它们实际上与互联网和您的 LAN 是隔离的,通过允许您创建互联网流量的入站规则来提高安全性,而且出站规则是说只允许 Web 服务器接受已建立的入站 80/443 连接,但不允许它发起到任何 TCP/UDP 端口的出站连接(从而在您的 Web 服务器受到损害时增加一层防御僵尸网络流量或垃圾邮件机器人等)。
如果您的服务器不在防火墙后面,您将无法享受防火墙、集中防火墙日志记录等的好处,这不是一件好事。
答案2
进一步挖掘(并退一步思考这个问题),你可以使用代理 ARP 实现透明子网网关,如RFC 1027并且在这方面SonicWall 的知识库文档。我不确定您的防火墙是否是受支持的型号之一,但这应该适合您。
编辑:根据您正在做的事情,您可能需要使用第 2 层桥接模式与透明模式;请参阅这个文件对两者进行比较。