我们有一条拥有 8 个公共 IP 地址的专线。它连接到我们的 Draytek 2860 路由器。
这里我们有一个用于办公电脑的内部网络,还有另一个用于数据中心(托管一些客户服务器)的网络。
我们已经安装了 pfSense 防火墙,希望用它来管理数据中心的 NAT 和路由
我想在我们的数据中心创建一个 Web 服务器,位于 pfSense 防火墙后面,位于我已分配的免费公共静态 IP 地址之一上。我该如何配置它?
我认为我应该为我想在 draytek 上的数据中心内使用的所有 IP 设置 DMZ,然后在我的 pfSense 上将其设置为 1:1 NAT,但不确定。
我需要内部网络、数据中心网络和 Web 服务器上的所有传出流量都来自它们自己的专用公共 IP 地址
答案1
您确实不应该将面向公众的 Web 服务器放在哪怕一个 NAT 后面(繁忙的 Web 服务器是填满 NAT 连接表的一种非常快捷的方式)。
如果您在 NAT 模式而不是路由模式下使用 Draytek,其 DMZ 功能实际上是从您的一个公共 IP 地址到特定内部 IP 地址的 1:1 NAT 映射。
我对您的具体要求没有足够的了解,但假设技术解决方案是可以接受的,这可能是我解决问题的方法。
+---------+ +---------+ +------------+
| | <===> | pfSense | <===> | Datacentre |
| | +---------+ +------------+
# |
Internet <===> # Draytek | +----------------+
# | <===> | |
| | <===> | Office network |
| | <===> | |
+---------+ +----------------+
我用来#表示 NAT 边界。
- 在 Draytek 上为数据中心设置单独的 LAN。
- 在路由或透明模式下使用 pfSense 防火墙而不是 NAT(我对 pfSense 不是特别熟悉,但我认为这是可能的)。
- 让 Draytek 管理数据中心和办公室网络之间的路由,并适当使用其内部防火墙。
- 将尽可能多的公共 IP 打通到数据中心 LAN,可以使用特定的端口转发或作为 DMZ 主机。
如果我误解了您的网络拓扑,请用合适的示意图更新您的问题。例如,您可能指的是您的专线终止于 Draytek和在 pfSense 上,所以它们是“并排的”。但我不认为你的意思是这样。