当社は 5 つの静的 IP を持つ Comcast Business にサインアップし、社内プライベート ネットワークを持っています。当社は小規模な企業であり、外部 IP/ポートの「ペア」を指定して、それを内部 IP/ポートの「ペア」にルーティングできるルーター/ファイアウォールを購入したいと考えています。
弊社の古い T1 モデム (netopia) では、これが非常に簡単に実行できたので、問題になるとは思っていませんでした。現在、ファイアウォールなどをオンラインで調べていますが、これが簡単に実行できるものが見つからないようです。簡単な (できればあまり高価ではない) 解決策を誰かお勧めいただけませんか?
答え1
以前、私は同様の状況を、Comcast ルーターの背後にブリッジ ファイアウォールとして構成された小さな Linux サーバーで解決しました。2 つの NIC があり、1 つはルーターに直接接続され、もう 1 つは内部ネットワークに接続されています。この方法では、Comcast ルーターが NAT を実行した後、別の NAT ステップを実行することなくトラフィックをフィルター処理できました。
Debian でブリッジ ファイアウォールを設定する方法については、こちらに優れたドキュメントがあります。ただし、主要なディストリビューションであれば、必要なモジュールとツールは揃っているはずです。http://www.annahegedus.com/tutorials/60-bridge-firewall
答え2
1 対 1 NAT を実行するファイアウォールが必要です。私はこれに Watchguard XTM 2 および 3 デバイスを使用します。これは 2 つの部分から成るプロセスであるため、すべてのポートを公開するわけではありません。最初の部分は、パブリックからプライベートへの SNAT を設定することです。次に、どのトラフィックがその SNAT ルールを通過できるかを指定するファイアウォール ルールを作成する必要があります。このシナリオは、たとえば、80/443 に対応する必要がある複数のサーバーに役立ちます。
80/443 を提供する必要があるサーバーが 1 台あり、FTP を提供する必要があるサーバーがもう 1 台ある場合、ポートが異なるため、両方の内部サーバーを提供するのに 1 つのパブリック IP のみを使用して NAT ルールを設定できます。
答え3
要件に応じて、低価格のホーム オフィス製品から高価格のエンタープライズ製品まで、何でも好きなようにできます。ニーズを満たす製品は文字通り何千もあり、それぞれにファン ベースがあります。製品の予算を算出し、購入できるものを検討するのが最善策です。私は個人的に Watchguard 製品ラインのファンです。特にあなたには XTM3 製品をお勧めしますが、予算外かもしれません。
答え4
私も同じ問題を抱えていましたが、解決策があることがわかりました。この記事私にとっては欠けていたリンクでした。これは非常に簡単なことであり、モデムにはそれを実行するための十分な機能が備わっています。
肝心なのは、Comcast が静的 IP を WAN 側ではなく LAN 側 (つまり内部ネットワーク) に割り当てることです。したがって、Comcast に静的 IP のブロックを問い合わせ、この IP で必要なマシンをルーターの IP とサブネット マスクを使用して構成し、ルーターの IP をマシンのゲートウェイ設定として使用します。
ファイアウォールが必要な場合は、[ファイアウォール] -> [ポート構成] -> [真の静的 IP ポート管理] でファイアウォール ルールを構成するだけです。ファイアウォールが不要な場合は、最初のファイアウォール ページで [真の静的 IP サブネットのみのファイアウォールを無効にする] チェックボックスをオンにします。
見る記事詳細とスクリーンショットについてはこちらをご覧ください。