我们的ISP为我们分配了16个公共IP地址,我们希望将其分配给Watchguard Firebox x750e后面的主机。
IP地址是:xxx176 / 28其中xxx177是网关。
主机将运行需要直接分配公共IP地址的软件,因此1:1 NAT不是一个选项。
我发现这个文档给出了有关如何使用可选接口将公有IP地址分配给防火墙后面的主机的示例: http : //www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_(en-US).pdf
但是,我不能实现scheme1,因为它不会允许我在两个接口上使用相同的子网。 对于场景2,将地址范围拆分成2个子网将使可选接口上的可用主机数量减less为5(8-network-broadcast-optional interface ip)。
我确信必须有一个更好的方法来解决这个问题,并尽可能增加可用IP地址的数量,但我对这个特定的防火墙并不是很熟悉。
对于如何使用公有IP地址将防火墙保留在防火墙之后,是否有任何build议,同时最大限度地提高可用IP地址?
谢谢
您应该可以使用Drop-In模式和Secondary Networks来允许您的公共和私有IP地址在每个接口上使用。 然后,您可以执行私有IP地址所需的任何NAT,并且不需要公网IP地址的NAT。 您为每个Firebox接口configuration的专用IP地址将成为用于从该接口连接的专用寻址主机的DG。 在“接口”选项卡上configuration的公共IP地址将成为每个Firebox接口上公开寻址主机的DG。 插入模式将允许您在每个接口上使用相同的公共地址空间,而无需子网地址块。
我不能说在Firebox运行本地固件的可能性,但我有一个类似的设置在x750e转换为pfSense。
我在广域网接口和具有广域网IP的设备所连接的接口之间build立了一个桥梁。 这具有强制通过防火墙访问这些服务器的优点。 您可以将这些设备的网关设置为WAN接口的IP来实现此目的。
重要的是要记住,WAN端和设备端必须单独交换,或者至less在同一个交换机上分离VLAN,否则stream量不能通过防火墙。