Firebox Watchguard: общедоступные IP-адреса за брандмауэром с максимально возможным количеством используемых IP-адресов

Question

Firebox Watchguard: общедоступные IP-адреса за брандмауэром с максимально возможным количеством используемых IP-адресов

Наш интернет-провайдер назначил нам 16 общедоступных IP-адресов, которые мы хотим назначить хостам за firebox Watchguard x750e.

IP-адреса: xxx176/28, из которых xxx177 является шлюзом.

На хостах будет запущено программное обеспечение, которому необходимо напрямую назначить публичный IP-адрес, поэтому NAT 1: 1 не вариант.

Я нашел этот документ, в котором приведены примеры того, как назначать общедоступные IP-адреса хостам за брандмауэром, используя дополнительный интерфейс: http://www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_(en-US).pdf

Однако я не могу реализовать сценарий 1, так как он не позволит мне использовать одну и ту же подсеть на обоих интерфейсах. Что касается сценария 2, разделение диапазона адресов на 2 подсети уменьшит количество используемых хостов на дополнительном интерфейсе до 5 (8 - сеть - широковещание - дополнительный интерфейс ip).

Я убежден, что должен быть лучший способ решить эту проблему и максимизировать количество используемых IP-адресов, но я не очень знаком с этим конкретным брандмауэром.

Есть ли какие-либо предложения о том, как сохранить хосты за брандмауэром с публичными IP-адресами при максимальном использовании используемых IP-адресов?

Спасибо

2

networking ip watchguard firebox

Источник

lbarbosa 21 окт '13 в 21:16

2 ответа

Другие вопросы по тегам networking ip watchguard firebox

joeqwerty 22 окт '13 в 02:49 2013-10-22 02:49 · Answer 1 · 2013-10-22 02:49

Вы должны иметь возможность использовать режим Drop-In и вторичные сети, чтобы разрешить использование ваших общих и частных IP-адресов на каждом из интерфейсов. Затем вы можете сделать любой NAT, необходимый для частных IP-адресов, и не использовать NAT для публичных IP-адресов. Частный IP-адрес, который вы настраиваете для каждого интерфейса Firebox, станет DG для хостов с частной адресацией, подключенных к этому интерфейсу. Публичный IP-адрес, настроенный на вкладке "Интерфейсы", станет генеральным директором для публично адресованных хостов на каждом интерфейсе Firebox. Режим Drop-In позволит вам использовать одинаковое общедоступное адресное пространство на каждом интерфейсе без необходимости подсети блока адресов.

phil-lavin 21 окт '13 в 21:51 2013-10-21 21:51 · Answer 2 · 2013-10-21 21:51

Я не могу говорить о возможности этого на Firebox, работающем с родной прошивкой, но у меня есть аналогичная установка на x750e, преобразованном в pfSense.

Я создал мост между интерфейсом WAN и интерфейсом, к которому подключены устройства с IP-адресами WAN. Преимущество этого заключается в том, что через брандмауэр трафик получает доступ к этим серверам. Для этого вы можете настроить шлюз этих устройств на IP-интерфейс WAN.

Важно помнить, что сторона WAN и сторона устройств должны коммутироваться отдельно или, по крайней мере, отдельные VLAN на одном коммутаторе, иначе трафик может не проходить через брандмауэр.