告白します。私は少し迷っています。
ISP は ADSL2 アカウント用にいくつかの追加 IP アドレスを提供してくれました。ISP から送られてきた電子メールには、サブネット 255.255.255.240 の IP アドレスが指定されていました。
203.214.69.1/28 から 203.214.69.14/28 GW: 203.206.182.192
ファイアウォール構成の接続にエイリアスとして追加しようとしています (その後、内部 Web サーバーを公開するための 1-1 NAT ルールをいくつか作成できます)。
ファイアウォールの接続構成にエイリアスを追加する場合、サブネット マスクとして 28 または 32 を使用する必要がありますか?
インターネット アドレスのサブネットが 28 であるのはなぜでしょうか。おそらく私はひどく誤解しているのでしょうが、アドレスに関してはインターネットが最も解像度が高いと思っていました。
わかりました。私にください。
みんな、ありがとう、
アシュリー
答え1
ISP が行っているのは、これらの追加 IP アドレスを標準接続経由でルーティングすることです。ISP が期待しているものより大きくない限り、実際に設定しているネットマスクは重要ではありません。私は、それらを処理するときに、すべてを /32 追加アドレスとして指定するだけです。
答え2
アシュリー、
ファイアウォールのエイリアスは /32 サブネット マスクで定義する必要があると思います。ファイアウォールは、パブリック サブネットのすべての要求を (たとえば) Web サーバーに転送する場合があります。ファイアウォールの外部インターフェイスには、もちろん /28 ネットマスクがあります。
しかし、それはファイアウォールに大きく依存します。どのような製品を使用していますか?
HTH、ペラ
答え3
すべてのアドレスは一緒に属しているため、サブネットは同じになります。
/28はCIDR表記これは、サブネット マスク 255.255.255.240 を表します。
答え4
NATを定義するために、これらのIPのそれぞれはしなければならない/32 として定義する必要があります。/28 として定義すると、その CIDR 範囲内のすべての 16 個の IP へのトラフィックは、ポリシーで定義した最初の NAT と一致します。
編集: 上記を拡張します。これはプラットフォームによって異なる場合がありますが、Checkpoint NAT での私の経験に基づいて、次の点を考慮してください。(Cisco についても後で説明します。表現するにはもう少し手間がかかります)。
この例では、チェックポイント NAT ルールは次の形式で考えることができます。
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
この場合、私たちが関心を持っているのは「元の Dst」です。203.214.69.1 宛てのトラフィックを内部 Web サーバーにリダイレクトするルールを作成すると仮定します。
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
このルールの問題は、203.214.69.1/28 が [ 203.214.69.0 ... 203.214.69.15 ] の範囲内の任意の IP 宛てのトラフィックに一致することです。
また、後続のルール (たとえば、203.214.69.2 への SMTP トラフィックを内部サーバー 192.168.1.2 にリダイレクトするなど) は適用されません。
このプレフィックスを /28 として定義する必要があるケースは次のとおりです。
ルーティングに使用する場合。ISP は 1 つしかないようなので、ISP のデフォルト ゲートウェイを指す静的デフォルト ルートがあり、ISP にはインターネット接続デバイス (ファイアウォール?) を指す割り当てられた /28 の静的ルートがあると考えられます。この場合、ファイアウォール ポリシーでアドレスをどのように定義するかに関係なく、これらすべての IP のトラフィックはインターネット ゲートウェイにルーティングされます。
これを真のレイヤー 3 サブネットとして使用する場合、すべてのホストが同じブロードキャスト ドメインに存在する必要があります。これらのアドレスは内部 Web サーバーへの NAT に使用されるとおっしゃっているので、このケースも適用されません。