我们的 ISP 为我们分配了 16 个公共 IP 地址,我们希望将这些地址分配给 Watchguard firebox x750e 后面的主机。
IP地址为:xxx176/28,其中xxx177是网关。
主机将运行需要直接分配公共 IP 地址的软件,因此 1:1 NAT 不是一种选择。
我发现这个文档给出了如何使用可选接口将公共 IP 地址分配给防火墙后面的主机的示例: http://www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_(en-US).pdf
但是,我无法实现方案 1,因为它不允许我在两个接口上使用相同的子网。至于方案 2,将地址范围拆分为 2 个子网将使可选接口上的可用主机数减少到 5 个(8 - 网络 - 广播 - 可选接口 IP)。
我确信一定有更好的方法来解决这个问题并最大限度地增加可用的 IP 地址数量,但我对这个特定的防火墙不是很熟悉。
关于如何让防火墙后面的主机保留公共 IP 地址,同时最大限度地利用可用 IP 地址,有什么建议吗?
谢谢
答案1
您应该能够使用 Drop-In 模式和辅助网络,以允许在每个接口上使用您的公共和私有 IP 地址。然后,您可以对私有 IP 地址执行任何所需的 NAT,而对公共 IP 地址不执行 NAT。您为每个 Firebox 接口配置的私有 IP 地址将成为从该接口连接的私有寻址主机的 DG。在“接口”选项卡上配置的公共 IP 地址将成为每个 Firebox 接口上公共寻址主机的 DG。Drop-In 模式将允许您在每个接口上使用相同的公共地址空间,而无需对地址块进行子网划分。
答案2
我无法谈论在运行本机固件的 Firebox 上出现这种情况的可能性,但我在转换为 pfSense 的 x750e 上有一个类似的设置。
我在 WAN 接口和具有 WAN IP 的设备所连接的接口之间创建了一个桥接器。这样做的好处是,流量被强制通过防火墙来访问这些服务器。您可以将这些设备的网关设置为 WAN 接口的 IP 来实现这一点。
重要的是要记住,WAN 端和设备端必须单独切换,或者至少在同一交换机上分开 VLAN,否则流量可能无法强制通过防火墙。