Ich muss gestehen, ich bin ein wenig verloren.
Unser ISP hat uns mehrere zusätzliche IP-Adressen für unseren ADSL2-Account bereitgestellt. In der E-Mail, die sie uns geschickt haben, waren IP-Adressen mit dem Subnetz 255.255.255.240 angegeben:
203.214.69.1/28 bis 203.214.69.14/28 gw: 203.206.182.192
Ich versuche, sie als Aliase zur Verbindung in unserer Firewall-Konfiguration hinzuzufügen (damit ich anschließend einige 1-1-NAT-Regeln erstellen kann, um unsere internen Webserver verfügbar zu machen).
Soll ich beim Hinzufügen von Aliasnamen in der Verbindungskonfiguration unserer Firewall 28 oder 32 als Subnetzmaske verwenden?
Wie kann eine Internetadresse ein Subnetz wie 28 haben? Vielleicht irre ich mich ja gewaltig, aber ich dachte, das Internet hätte die höchste Auflösung, wenn es um Adressen geht.
Ok, gib es mir.
Danke an alle,
ashley
Antwort1
Der ISP leitet diese zusätzlichen IP-Adressen über die Standardverbindung weiter. Es spielt eigentlich keine Rolle, welche Netzmaske Sie festlegen, solange sie nicht größer ist als die vom ISP erwartete. Ich spezifiziere sie einfach alle als /32-Zusatzadressen, wenn ich mit ihnen arbeite.
Antwort2
Ashley,
Ich denke, Sie sollten die Aliase auf Ihrer Firewall mit einer /32-Subnetzmaske definieren. Ihre Firewall leitet möglicherweise alle Anfragen für Ihr öffentliches Subnetz an Ihren (z. B.) Webserver weiter. Die externe Schnittstelle Ihrer Firewall hat natürlich eine /28-Netzmaske.
Das hängt aber stark von deiner Firewall ab. Welches Produkt verwendest du?
HTH, PEra
Antwort3
Das Subnetz ist für alle Adressen gleich, da sie zusammengehören.
Die /28 ist eineCIDR-Notationdas beschreibt eine Subnetzmaske von 255.255.255.240.
Antwort4
Für die Definition von NATs ist jede dieser IPsmussals /32 definiert werden. Wenn Sie sie als /28 definieren, entspricht der Datenverkehr zu allen 16 IPs in diesem CIDR-Bereich dem ersten NAT, das Sie in Ihrer Richtlinie definiert haben.
EDIT: Um das oben Gesagte zu erweitern; dies kann je nach Plattform variieren, aber basierend auf meiner Erfahrung mit Checkpoint NAT sollten Sie Folgendes berücksichtigen. (Ich werde zu einem späteren Zeitpunkt auch Cisco beschreiben; es erfordert etwas mehr Aufwand, es auszudrücken).
Für die Zwecke dieses Beispiels können Checkpoint-NAT-Regeln in folgender Form berücksichtigt werden:
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
In diesem Fall geht es uns um das „Originalziel“. Nehmen wir an, wir erstellen eine Regel für Datenverkehr, der an 203.214.69.1 gerichtet ist und auf einen internen Webserver umgeleitet wird.
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
Das Problem mit dieser Regel besteht darin, dass 203.214.69.1/28 mit Datenverkehr übereinstimmt, der an jede IP im Bereich gerichtet ist: [ 203.214.69.0 ... 203.214.69.15 ]
Und alle nachfolgenden Regeln (z. B. die Umleitung des SMTP-Verkehrs über 203.214.69.2 zum internen Server 192.168.1.2) werden niemals erreicht.
Dieses Präfix muss in den folgenden Fällen als /28 definiert werden:
Bei Verwendung zum Routing. Es klingt, als hätten Sie nur einen ISP, daher würde ich erwarten, dass Sie eine statische Standardroute haben, die auf das Standard-Gateway Ihres ISPs verweist, und Ihr ISP eine statische Route für Ihr zugewiesenes /28 hat, die auf Ihr internetfähiges Gerät (Firewall?) verweist. In diesem Fall wird der Datenverkehr für alle diese IPs an Ihr Internet-Gateway weitergeleitet, unabhängig davon, wie Sie die Adressen in Ihrer Firewall-Richtlinie definieren.
Wenn Sie es als echtes Layer-3-Subnetz verwenden, bei dem sich alle Hosts in derselben Broadcast-Domäne befinden müssen. Wie Sie gesagt haben, werden diese Adressen für NAT zu internen Webservern verwendet, dieser Fall trifft auch nicht zu.