我正在将一台 1U 服务器与一台 1U pfSense 防火墙放在一起(第一次这样做),数据中心给了我以下信息:
IPv4 address block: x.x.x.225/28
Gateway: x.x.x.226
Subnet mask: 255.255.255.240
使用可用的在线子网计算器,我发现我的可用 IP 范围是x.x.x.225 - x.x.x.238
提供商为我提供了一条从他们的交换机到我的防火墙的电缆。
我应该给防火墙指定什么 IP 地址?他们在网关上犯了错误吗?该网关似乎是我自己可用的 IP 之一。
我应该在防火墙本身中设置什么 IP 地址作为网关?
答案1
我应该给防火墙什么 IP 地址
您想要的任何地址不是.225,.226或者.239
他们在网关上犯了错误吗?该网关似乎是我自己可用的 IP 之一。
不,他们没有犯错。我个人不太喜欢这种设置,但我以前见过。基本上他们的路由器位于您的广播域内。理想情况下,他们会为您/31的上行链路提供一个和 vlan 标签,但也许他们想节省 IP 地址?
我应该在防火墙本身中设置什么 IP 地址作为网关?
他们让你设置的 IP 地址 -x.x.x.226
注意事项:此设置存在潜在问题。如果您将公共 IP 地址分配给其他设备并使用防火墙作为默认网关,则当数据包返回时,它们可能会绕过防火墙,因为上游不知道将数据包转发到防火墙 - 它可能只是将它们直接转发到您的设备(因为它们的网关在您的子网内)。
解决此问题的方法是:
- 要求他们给你一个 /31 用于上行到他们的网络
- 将防火墙设置为透明模式。不要将其用作网关,而是将其与上行链路“内联”到他们的网络,并将他们的路由器设置为所有具有公共 IP 地址的机器的默认网关
- 将所有公共 IP 地址分配给防火墙,并使用 1:1 NAT 将它们转换为内部 IP(真恶心)