Lo confieso: estoy un poco perdido.
Nuestro ISP nos ha proporcionado varias direcciones IP adicionales para nuestra cuenta ADSL2. El correo electrónico que enviaron especificaba direcciones IP con la subred 255.255.255.240:
203.214.69.1/28 a 203.214.69.14/28 gw: 203.206.182.192
Estoy intentando agregarlos como alias a la conexión en la configuración de nuestro firewall (para poder crear posteriormente algunas reglas NAT 1-1 para exponer nuestros servidores web internos).
Al agregar alias en la configuración de conexión de nuestro firewall, ¿debería usar 28 o 32 como máscara de subred?
¿Cómo puede una dirección de Internet tener una subred como 28? Quizás esté muy equivocado, pero pensé que Internet tenía la resolución más alta en lo que respecta a direcciones.
Ok, déjamelo.
gracias a todos,
ashley
Respuesta1
Lo que hace el ISP es enrutar esas direcciones IP adicionales a través de la conexión estándar. En realidad, no importa qué máscara de red establezca, siempre y cuando no sea más grande de lo que espera el ISP. Simplemente las especifico todas como direcciones adicionales /32 cuando trato con ellas.
Respuesta2
ashley,
Creo que deberías definir los alias en tu firewall con una máscara de subred /32. Su firewall podría reenviar todas las solicitudes de su subred pública a su (por ejemplo) servidor web. La interfaz externa de su firewall tendrá, por supuesto, una máscara de red /28.
Pero eso depende en gran medida de su firewall. ¿Qué producto estás usando?
HTH, PERa
Respuesta3
La subred será la misma para todas las direcciones porque pertenecen juntas.
El /28 es unNotación CIDRque describe una máscara de subred de 255.255.255.240.
Respuesta4
A los efectos de definir NAT, cada una de estas IPdebedefinirse como /32. Si los define como /28, el tráfico a las 16 IP en ese rango CIDR coincidirá con la primera NAT que haya definido en su política.
EDITAR: Ampliando lo anterior; Esto puede variar dependiendo de la plataforma, pero según mi experiencia en Checkpoint NAT, considere lo siguiente. (También escribiré sobre Cisco en una etapa posterior; expresarlo requiere un poco más de esfuerzo).
A los efectos de este ejemplo, las reglas NAT de Checkpoint se pueden considerar en la forma:
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
En este caso, nos ocupamos del 'Dst original'. Supongamos que estamos creando una regla para el tráfico destinado a 203.214.69.1, que será redirigido a un servidor web interno.
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
El problema con esta regla es que 203.214.69.1/28 coincidirá con el tráfico destinado a cualquier IP en el rango: [ 203.214.69.0 ... 203.214.69.15 ]
Y cualquier regla posterior (por ejemplo, redirigir el tráfico SMTP a 203.214.69.2 al servidor interno 192.168.1.2) nunca se verá afectada.
Los casos en los que será necesario definir este prefijo como /28 son:
Cuando se utiliza para enrutamiento. Parece que solo tiene un ISP, por lo que esperaría que tenga una ruta estática predeterminada que apunte a la puerta de enlace predeterminada de su ISP, y su ISP tendrá una ruta estática para su /28 asignado que apunte a su dispositivo con acceso a Internet (¿firewall? ). En este caso, el tráfico de todas estas IP se enrutará a su puerta de enlace de Internet independientemente de cómo defina las direcciones en su política de firewall.
Cuando lo utiliza como una verdadera subred de capa 3, donde todos los hosts deben estar en el mismo dominio de transmisión. Como ha dicho, estas direcciones se utilizarán para NAT a servidores web internos, este caso tampoco se aplica.