我们刚刚注册了5个静态IP的comcast业务,并拥有一个内部专用networking。 我们是一个小企业,我希望我们可以购买一个路由器/防火墙,只允许我指定一些外部IP /端口“对”,并将它们路由到内部IP /端口“对”。
我们以前的T1调制解调器(netopia)很容易做到这一点,我不认为这会是一个问题。 现在我正在看防火墙等在线,我似乎无法find容易做到这一点的东西。 有人可以推荐一个简单的(希望不是太昂贵)解决scheme吗?
我之前解决了一个类似的情况,一个小型Linux服务器configuration为Comcast路由器后面的桥接防火墙 – 两个NIC,一个直接连接到路由器,另一个连接到我的内部networking。 这样,我就可以在Comcast路由器完成NAT之后过滤stream量,而不必执行另一个NAT步骤。
这里有一个关于在Debian下build立桥接防火墙的好文档,但是任何主要的发行版都应该有你需要的模块和工具: http : //www.annahegedus.com/tutorials/60-bridge-firewall
你想要一个防火墙,将执行1对1的NAT。 我为此使用了Watchguard XTM 2和3设备。 你并没有公开所有的港口,因为这是一个两部分的过程。 第一部分是build立SNAT,把公众交给私人。 然后您必须创build一个防火墙规则,指定哪些stream量可以穿越SNAT规则。 这种情况对于所有需要为80/443服务的多个服务器都很有用。
如果您有一台需要服务于80/443的服务器,另一台服务器需要服务器FTP,则可以使用一个公用IP来设置NAT规则,以便为两个内部服务器提供服务,因为端口不同。
根据您的要求,您可以使用从低端家庭办公产品到高端企业产品的任何产品。 有数以千计的产品可以满足您的需求,并且都有自己的粉丝基地。 你最好的办法是找出产品的预算,然后看看你能负担得起。 我个人对于WatchGuard产品线的爱好者,特别是对于您,我可能会推荐一款XTM3产品,但这可能超出您的预算。
我有同样的问题,但事实certificate,这是一个解决scheme。 这篇文章是我缺less的链接。 事实certificate,这是非常简单的,调制解调器是完全有能力做到这一点。
关键是Comcast在LAN侧(即内部networking)分配静态IP,而不是WAN侧。 因此,请问康卡斯特公司的静态IP地址是什么,然后用IP和路由器的子网掩码在此IP上configuration所需的机器,并使用路由器的IP作为机器的网关设置。
然后,只需要在防火墙 – >端口configuration – >真正静态IP端口pipe理下configuration防火墙规则(如果需要防火墙的话)。 或者,如果您不需要,请在第一个防火墙页面上选中“禁用仅用于True Static IP Subnet的防火墙”checkbox。
有关更多详细信息和屏幕截图,请参阅文章 。