我们有16个来自ISP的IP地址,并且正在build立一个SonicWall防火墙。 我想让SonicWall为局域网做NAT,但是对于使用16个地址中的一些地址的服务器来说, 它只作为防火墙(没有NAT)。 我如何设置? 如果我将WAN的子网设置为包含16个IP,则SonicWall将不会将stream量路由到LAN接口。 我应该将广域网子网设置为仅包含我们专门用于NAT的那些子网,然后将其他networking保留在局域网上?
相关问题:如何为SonicWALL LAN接口设置多个IP地址?
澄清:服务器不是NAT'd; 他们直接使用他们的公共IP地址。
正如Tom在评论中所build议的,你需要做的是为你的(我希望)DMZ的面向公众的服务器设置一个静态的1:1 NAT。 您的源NAT(多对一可能)将允许您的LAN子网作为您的/ 16相应的NAT之一。
例如:
通过在不同的子网上设置您的局域网和DMZnetworking(无论您使用VLAN还是防火墙上的单独接口,它应该有一个“DMZ”或“可选”接口),可以通过防火墙路由和过滤现在设置1:1 NAT来静态分配一个DMZ地址到一个公共地址,但也有过滤设置,以允许来自互联网和你的局域网的入站stream量(反之亦然,如果你的服务器之一需要谈话域控制器内部)仅在您希望的端口和源IP地址上。
对于世界其他地方,您的服务器似乎处于“外部”,但它们确实与Internet隔离,并与LAN之间隔离,通过允许您为Internet通信创build入站规则, 出站规则只允许Web服务器接受已build立的入站80/443连接,但不允许它启动到任何TCP / UDP端口的出站连接(从而为僵尸化的僵尸networkingstream量或垃圾邮件机器人等添加一层防御)。应该你的Web服务器,因为妥协)。
如果你的服务器不在防火墙之后,你不会受到防火墙,集中式防火墙日志logging等的好处,这不是一件好事。
进一步深入研究(并回想一下),可以使用RFC 1027中描述的代理ARP和SonicWall的KB文档中的透明子网网关。 我不确定您的防火墙是否是受支持的模型之一,但这应该适用于您。
编辑:根据你在做什么,你可能需要使用第2层桥接模式与透明模式; 请参阅这个文件来比较两者。