我承认 – 我有点失落。
我们的ISP为我们的ADSL2帐户提供了几个额外的IP地址。 他们发送的电子邮件指定的IP地址与子网255.255.255.240:
203.214.69.1 / 28至203.214.69.14 / 28gw:203.206.182.192
我试图将它们作为别名添加到我们的防火墙configuration中的连接(所以我可以随后创build一些1-1的NAT规则来暴露我们的内部networking服务器)。
在防火墙的连接configuration中添加别名时,我应该使用28还是32作为子网掩码?
互联网地址怎么能有一个子网28? 也许我错了,但是我认为互联网在解决问题时的分辨率是最高的。
好的 – 让我拥有它。
感谢大家,
阿什利
ISP正在做的是通过标准连接路由这些额外的IP地址。 它实际上并不重要,只要它不大于ISP所期望的大小。 当我处理它们时,我只是将它们全部指定为/ 32个额外的地址。
阿什利,
我想你应该使用/ 32子网掩码在防火墙上定义别名。 您的防火墙可能会将您公有子网的所有请求转发给您的(例如)networking服务器。 你的防火墙的外部接口当然会有一个/ 28的networking掩码。
但这很大程度上取决于您的防火墙。 你使用什么产品?
HTH,PEra
该子网对于所有的地址都是相同的,因为它们属于一起。
/ 28是一个描述子网掩码255.255.255.240的CIDR表示法 。
您应该添加/ 28子网掩码。 一个IP总是一个子网,/ 32将意味着IP在它自己的子网中是独一无二的。 在这种情况下,它不会被重复使用。 / 32用于添加到主机或防火墙的特定路由。
使用/ 28子网掩码并不意味着你有一个“较less分辨率”的地址空间。 IP仍然是一个32位的值。 子网掩码只定义在哪个networking中住的地址。
我认为你必须阅读什么是子网掩码: http : //en.wikipedia.org/wiki/Subnetwork
为了定义NAT,每个IP 必须定义为/ 32。 如果将它们定义为/ 28s,则在该CIDR范围内的所有16个IP的stream量将与您在策略中定义的第一个NAT匹配。
编辑:扩大上述; 这可能取决于平台,但基于我在Checkpoint NAT上的经验,请考虑以下内容。 (我也会在稍后的阶段写上思科的,需要更多的努力来expression)。
对于本例来说,检查点NAT规则可以被认为是以下forms:
|| Original || Translated || || Src | Dst | Port || Src | Dst | Port || 在这种情况下,我们关心的是“Original Dst”。 假设我们正在为203.214.69.1的stream量创build一个规则,该规则将被redirect到内部Web服务器。
Original Source: Any Destination: 203.214.69.1/28 Port: TCP/80. TCP/443 Destination: Source: Original Destination: 192.168.1.1/32 Port: Original
这个规则的问题是,203.214.69.1/28将匹配目标为任何IP的stream量,范围是:[203.214.69.0 … 203.214.69.15]
而任何后续的规则(例如,将SMTPstream量redirect到203.214.69.2到内部服务器192.168.1.2)将永远不会被击中。
这个前缀需要被定义为/ 28的情况是:
用于路由时。 这听起来像你只有一个ISP,所以我希望你将有一个静态的默认路由指向您的ISP的默认网关,并且您的ISP将有一个静态路由为您分配/ 28指向您的面向互联网设备(防火墙? )。 在这种情况下,无论您如何定义防火墙策略中的地址,所有这些IP的stream量都将被路由到您的Internet网关。
当您将其用作真正的第3层子网时,所有主机都需要位于同一个广播域中。 正如你所说的,这些地址将被用于内部networking服务器的NAT,这种情况也不适用。
在防火墙的连接configuration中添加别名时,我应该使用28还是32作为子网掩码?
如果我在你的鞋子的地方,我会开始使用/ 28就像你的ISP告诉你的。 他们知道路由器是如何configuration的。
203.214.69.1 / 28至203.214.69.14 / 28gw:203.206.182.192
有些事似乎有点奇怪。 该网关与您提供的IP地址不在同一networking上。 你确定地址空间应该放在防火墙的外面吗? 他们希望你把它放在你的防火墙后面的一个networking上,然后路由呢?