康卡斯特商务舱路由器设置

听起来最好的方法是将 Comcast 调制解调器/路由器置于桥接模式，然后获取企业级路由器/防火墙（我喜欢 Sonicwall），并使用静态 IP 地址配置 WAN 接口。在 Sonicwall 上的防火墙和 NAT 规则中，设置端口（Sonicwall 实际上有一个方便的向导可用于此操作）：

• 8.2.3.4 端口 80/443 连接至 Web 服务器 1 (192.168.1.10)
• 8.2.3.5 端口 80/443 连接至 Web 服务器 2 (192.168.1.11)
• 8.2.3.6 端口25通往电子邮件服务器（192.168.1.12）
• ETC。

这将允许您基本上保持防火墙后面的所有内容保持不变（无需更改 DHCP 或使用 wan IP 配置服务器的 NIC）。

其他几点：

• 如果可能的话，请将所有东西都放在防火墙后面。听起来你不需要将 Web 服务器移到防火墙前面，所以不要这么做。将其移到防火墙前面会使 Web 服务器更容易受到黑客攻击，并且会大大增加 AD 与 DC 之间的通信难度。我们可以就 DMZ 和 AD 通信以及什么是可能的和什么是不可能的展开大讨论，但对于你的情况，听起来保持一切原样并按上述方式进行端口转发是合乎逻辑的。
• 我从不依赖 ISP 的设备做任何事情，除了提供连接接口（即仅仅是调制解调器）。他们的路由器通常质量低于标准，缺乏功能，支持不佳。尽可能将 ISP 的调制解调器/路由器桥接到您自己的设备。我在全国各地设立了办事处，有机会与许多不同的 ISP 合作。我发现最好让 ISP 设备尽可能愚蠢，并使用您自己的设备进行所有防火墙、端口转发、广域网 IP 配置等。例如，使用 sonicwall，您可以利用 sonicwall 的所有支持资源来实现您需要的任何东西，而不是依赖 Comcast 1-800-WHO-CARES 来尝试配置本月的 Comcast/Time-Warner/Verizon/AT&T 路由器版本。只需将 ISP 调制解调器/路由器置于桥接模式，您就完成了与他们设备的处理。

“影响最小”的方法可能是使用可以服务多个公共/WAN IP 的 NAT 路由器 - 无论是通过 Comcast 设备（如果它具有您需要的功能）还是通过 Linksys 的替代品。这将允许您同时为每个 Internet/WAN IP 指定每个 IP 到端口的映射，因此您当前的内部 IP 计划可以保持不变。

TommyB，我和你对康卡斯特的立场很接近。我从事 IT 工作，使用康卡斯特家庭服务，运行 Windows 服务器，包括 Exchange 电子邮件。我的 25 端口一直被阻止，所以我换成了商务舱。我还使用动态 DNS，中间有一个 SonicWALL 防火墙。

当他们安装带有小型交换机的商务级调制解调器/路由器时，很早就发现新调制解调器无法工作，因为它无法处理桥接，因此它一直向我的 SonicWALL 的 WAN 接口提供 192.168.xx IP 地址，并且该地址被报告给我的动态 DNS 提供商，因此我有三个选择：

1. 花费高昂的费用购买静态 IP（然后可以将其置于桥接模式）
2. 放弃 SonicWALL（在你的情况下是 Linksys），并使用他们的调制解调器作为防火墙，这并不吸引人，因为它的功能非常有限
3. 或者简单地将商务级调制解调器换成可以桥接的家用版，但要确保他们将我的 IP 保持在商务级范围内。

我还必须使用他们的智能主机以及我的用户名和密码来中继电子邮件。

我选择了后者，并且已经用了一年多，但既然你已经承诺使用静态，请询问他们是否可以将其置于桥接模式。你可能需要将 Linksys 升级为功能更强大的防火墙。

另外，如果您同意将 Comcast 调制解调器/路由器用作防火墙，它还可以执行 1 对 1 NAT（以及端口转发），从而允许您使用多个外部 IP 并将它们映射到内部服务器。