我的 ISP 刚刚给我提供了一个公共 IP 地址子网和一个单身的他们网络中的公共 IP,这样我就可以路由这些 IP。我正在尝试使用 pfsense 来做到这一点。基本上,我想将提供的公共 IP 公开到互联网(入站和出站)。稍后我可能想要应用一些防火墙规则,但现在只需盲目即可。
此外,我想在 10.99.99.0/24 范围内创建一个 NAT 子网,用于标准客户端计算机。(这些计算机也需要能够使用 UPNP 等打开端口)
我认为这是很标准的,但我找不到任何关于此的直接文档。
当我进入路由时,它似乎只允许传出流量,而不允许传入流量。我原本以为我需要做的就是在他们给我的公共子网中创建一个虚拟 IP,然后从他们的公共子网到该子网的路由,然后这将是该公共子网上所有其他计算机的网关?(然后也设置传出规则)。
仅使用两张 LAN 卡是否可行,还是我最好使用 3 张 LAN 卡并以这种方式进行设置?(仍然不知道如何让 pfSense 在两个公共子网之间路由。)
提前感谢您提供的任何帮助和建议!
答案1
好的,这是一个相当标准的“企业” ISP 设置。
将单个 IP(可能是 /30 网络)分配给您的 WAN 接口。然后为路由公共 IP 地址块中的每个 IP 创建 IP 别名虚拟 IP。
完成此操作后,您可以在 NAT 规则、端口转发、VPN 等中使用这些虚拟 IP。听起来您可能试图将这些公共 IP 直接应用于网络内的服务器。这很可能是不必要的。您可以为服务器配置 1:1 NAT 规则以“分配”公共 IP,并且来自这些服务器的出站流量将来自正确的公共 IP。
对于这种类型的设置,您不需要在配置的路由部分中乱搞。
答案2
他们给您的“单个 IP”可能是其路由器的 IP 地址,您应该将所有场外流量发送到那里。该 IP 地址应连接到您的“公共”网络,而您的“专用”网络将(通过 NAT)连接到前一个网络。
“完整”设置是指将一个路由器/防火墙连接到外部世界和公共内部网络(您的“非军事区”),另一个防火墙(执行 NAT)将您的专用网络连接到您的公共网络。通常简化为一个具有三个网络连接的盒子,并执行上述两项任务(更便宜,更易于管理)。