Acabamos de registrarnos en Comcast Business con 5 IP estáticas y tenemos una red privada interna. Somos una pequeña empresa y espero que podamos comprar un enrutador/firewall que simplemente me permita especificar algunos "pares" de IP/puerto externos y enrutarlos a "pares" de IP/puerto internos.
Nuestro antiguo módem T1 (netopia) haría esto con bastante facilidad y no pensé que sería un problema. Ahora estoy buscando cortafuegos, etc. en línea y parece que no puedo encontrar algo que haga esto fácilmente. ¿Alguien puede recomendar una solución sencilla (con suerte, no demasiado cara)?
Respuesta1
Resolví una situación similar hace un tiempo con un pequeño servidor Linux configurado como un firewall puente detrás del enrutador de Comcast: dos NIC, una conectada directamente al enrutador y la otra a mi red interna. De esa manera pude filtrar el tráfico después de que el enrutador de Comcast hubiera realizado la NAT, sin tener que realizar otro paso de NAT.
Aquí hay un buen documento sobre cómo configurar un firewall puente en Debian, pero cualquier distribución importante debe tener los módulos y herramientas que necesita:http://www.annahegedus.com/tutorials/60-bridge-firewall
Respuesta2
Quiere un firewall que realice NAT 1 a 1. Utilizo dispositivos Watchguard XTM 2 y 3 para esto. No estás exponiendo todos los puertos, ya que es un proceso de dos partes. La primera parte es la creación del SNAT, de lo público a lo privado. Luego debe crear una regla de firewall que especifique qué tráfico puede atravesar esa regla SNAT. Este escenario es útil para varios servidores que necesitan servir 80/443, por ejemplo.
Si tiene un servidor que necesita servir 80/443 y otro que necesita servir FTP, puede configurar reglas NAT con una sola IP pública para servir a ambos servidores internos, ya que los puertos son diferentes.
Respuesta3
Dependiendo de sus requisitos, puede hacer lo que quiera con cualquier cosa, desde un producto de oficina en casa de gama baja hasta un producto empresarial de gama alta. Hay literalmente miles de productos que satisfarán sus necesidades y todos ellos tienen sus propias bases de seguidores. Lo mejor que puede hacer es calcular su presupuesto para el producto y luego ver cuánto puede pagar. Personalmente, soy fanático de la línea de productos Watchguard, específicamente para usted, probablemente recomendaría un producto XTM3, pero eso podría estar fuera de su presupuesto.
Respuesta4
Tuve el mismo problema, pero resulta que HAY una solución.Este artículoEra el eslabón perdido para mí. Resulta muy sencillo y el módem está totalmente equipado para hacerlo.
El quid de la cuestión es que Comcast asigna la IP estática en el lado LAN (es decir, la red interna), no en el lado WAN. Entonces pregunte a Comcast cuál es su bloque de IP estáticas, luego configure la máquina que desea en esta IP con la IP y la máscara de subred del enrutador y use la IP del enrutador como configuración de puerta de enlace para la máquina.
Luego, todo lo que tiene que hacer es configurar las reglas del firewall en Firewall -> Configuración de puerto -> True Static IP Port Mgmt, si desea el firewall. O, si no lo desea, marque la casilla "deshabilitar el firewall solo para la subred de IP estática verdadera" en la primera página del firewall.
Verel artículopara más detalles y capturas de pantalla.