我们有一组静态IP,由几个不同的路由器使用 - 一个由我们的VoIP公司提供,一个由Verizon提供(主要用于电视/访客wifi),一个连接到我们的SonicWall TZ210。
我在 SonicWall 的另一个端口上设置了一个区域 - 一种 DMZ,用于与我们的 LAN 隔离的应用程序。但是,到目前为止,它还没有用于任何面向公众的东西。它是一个开发子网,人们在其中在虚拟机等中构建应用程序。
但是,现在我们需要与需要 IP 地址的外部系统进行交互。我不想向他们提供整个 SonicWall 的 IP 地址,而是希望为该 DMZ 子网分配一个特定的静态 IP。这样,我就可以直接从该静态 IP 端口转发到相关机器,并阻止所有其他流量(WAN 和此子网之间的流量当前被阻止)。
关于如何做到这一点,您有什么想法吗?再次重申,这是一台装有最新版本 SonicOS 的 SonicWall TZ210。
提前感谢您提供的任何帮助!
答案1
这相对简单。基本上需要两部分。首先,提供地址转换的 NAT 规则,以及允许流量跨区域的防火墙访问规则。
对于 NAT 部分,创建一个规则,使原始 IP 保持完整,但从外部静态 IP 转换为内部 DMZ,并针对您希望转换的任何特定服务(TCP/IP 端口)执行此操作。我还建议为 ICMP 流量制定第二条规则,以便您可以从外部世界 ping 服务器。
- 原始来源:Any
- 翻译来源:原文
- 原始服务:
- 翻译服务: 原创。
- 原始目标:外部 IP 地址对象
- 转换后的目的地:内部 DMZ IP 地址
接下来,您需要在防火墙中启用该服务。您还需要为 ICMP 流量设置第二条规则,以便这些 ping 能够正常工作。这两条规则将创建在从 WAN 到 DMZ 的范围内。(或者您的服务器所在的任何区域)
- 来源:Any
- 目的地:外部的IP 地址对象。
- 服务:
- 操作:允许
——克里斯托弗·卡雷尔