通过 pfsense 和 draytek 2860 为网络服务器提供专用 IP

通过 pfsense 和 draytek 2860 为网络服务器提供专用 IP

我们有一条拥有 8 个公共 IP 地址的专线。它连接到我们的 Draytek 2860 路由器。

这里我们有一个用于办公电脑的内部网络,还有另一个用于数据中心(托管一些客户服务器)的网络。

我们已经安装了 pfSense 防火墙,希望用它来管理数据中心的 NAT 和路由

我想在我们的数据中心创建一个 Web 服务器,位于 pfSense 防火墙后面,位于我已分配的免费公共静态 IP 地址之一上。我该如何配置它?

我认为我应该为我想在 draytek 上的数据中心内使用的所有 IP 设置 DMZ,然后在我的 pfSense 上将其设置为 1:1 NAT,但不确定。

我需要内部网络、数据中心网络和 Web 服务器上的所有传出流量都来自它们自己的专用公共 IP 地址

答案1

您确实不应该将面向公众的 Web 服务器放在哪怕一个 NAT 后面(繁忙的 Web 服务器是填满 NAT 连接表的一种非常快捷的方式)。

如果您在 NAT 模式而不是路由模式下使用 Draytek,其 DMZ 功能实际上是从您的一个公共 IP 地址到特定内部 IP 地址的 1:1 NAT 映射。

我对您的具体要求没有足够的了解,但假设技术解决方案是可以接受的,这可能是我解决问题的方法。

               +---------+       +---------+       +------------+
               |         | <===> | pfSense | <===> | Datacentre |
               |         |       +---------+       +------------+
               #         |
Internet <===> # Draytek |       +----------------+
               #         | <===> |                |
               |         | <===> | Office network |
               |         | <===> |                |
               +---------+       +----------------+

我用来#表示 NAT 边界。

  1. 在 Draytek 上为数据中心设置单独的 LAN。
  2. 在路由或透明模式下使用 pfSense 防火墙而不是 NAT(我对 pfSense 不是特别熟悉,但我认为这是可能的)。
  3. 让 Draytek 管理数据中心和办公室网络之间的路由,并适当使用其内部防火墙。
  4. 将尽可能多的公共 IP 打通到数据中心 LAN,可以使用特定的端口转发或作为 DMZ 主机。

如果我误解了您的网络拓扑,请用合适的示意图更新您的问题。例如,您可能指的是您的专线终止于 Draytek在 pfSense 上,所以它们是“并排的”。但我不认为你的意思是这样。

相关内容