我们刚刚注册了 comcast 业务,拥有 5 个静态 IP,并且拥有内部专用网络。我们是一家小型企业,我希望可以购买路由器/防火墙,它只允许我指定一些外部 IP/端口“对”,并将它们路由到内部 IP/端口“对”。
我们的旧 T1 调制解调器 (netopia) 可以轻松实现这一点,我认为这不会成为问题。现在我在网上查看防火墙等,似乎找不到可以轻松实现这一点的东西。有人可以推荐一种简单(希望不是太贵)的解决方案吗?
答案1
不久前,我解决了类似的情况,将一台小型 Linux 服务器配置为 Comcast 路由器后面的桥接防火墙 - 两个 NIC,一个直接连接到路由器,另一个连接到我的内部网络。这样,我就能够在 Comcast 路由器完成 NAT 后过滤流量,而无需执行另一个 NAT 步骤。
这是关于在 Debian 下设置桥接防火墙的很好的文档,但任何主要发行版都应该具有您需要的模块和工具:http://www.annahegedus.com/tutorials/60-bridge-firewall
答案2
您需要一个可以执行 1 对 1 NAT 的防火墙。我为此使用了 Watchguard XTM 2 和 3 设备。您不会暴露所有端口,因为这是一个由两部分组成的过程。第一部分是设置 SNAT,即从公共端口到私有端口。然后,您必须创建一个防火墙规则,指定哪些流量可以穿越该 SNAT 规则。例如,此方案对于所有都需要服务 80/443 的多台服务器非常有用。
如果您有一台服务器需要提供 80/443 服务,而另一台服务器需要提供 FTP 服务,那么您可以设置 NAT 规则,只使用一个公共 IP 来为两台内部服务器提供服务,因为端口不同。
答案3
根据您的要求,您可以用从低端家庭办公产品到高端企业产品的任何产品来做您想做的事情。实际上,有成千上万的产品可以满足您的需求,并且它们都有自己的粉丝群。最好的办法是确定您对产品的预算,然后看看您能负担得起什么。我个人是 Watchguard 产品线的粉丝,特别是对您来说,我可能会推荐 XTM3 产品,但这可能超出您的预算。
答案4
我遇到了同样的问题,但事实证明确实有一个解决方案。本文对我来说是缺失的一环。事实证明这非常简单,而且调制解调器完全可以做到这一点。
关键在于 Comcast 在 LAN 端(即内部网络)分配静态 IP,而不是在 WAN 端。因此,请向 Comcast 询问您的静态 IP 块,然后使用路由器的 IP 和子网掩码在此 IP 上配置所需的计算机,并使用路由器的 IP 作为该计算机的网关设置。
然后,如果您需要防火墙,只需在“防火墙 -> 端口配置 -> True Static IP 端口管理”下配置防火墙规则即可。或者,如果您不需要防火墙,请在第一个防火墙页面上选中“仅对 True Static IP 子网禁用防火墙”复选框。
看文章了解更多详细信息和截图。