고백합니다 – 저는 약간 길을 잃었습니다.
우리 ISP는 ADSL2 계정에 대한 몇 가지 추가 IP 주소를 제공했습니다. 그들이 보낸 이메일에는 서브넷 255.255.255.240의 지정된 IP 주소가 포함되어 있습니다.
203.214.69.1/28 ~ 203.214.69.14/28 gw: 203.206.182.192
방화벽 구성에서 연결에 별칭으로 추가하려고 합니다. 따라서 이후에 내부 웹 서버를 노출하기 위한 1-1 NAT 규칙을 만들 수 있습니다.
방화벽 연결 구성에 별칭을 추가할 때 서브넷 마스크로 28 또는 32를 사용해야 합니까?
어떻게 인터넷 주소의 서브넷이 28개일 수 있나요? 아마도 제가 크게 착각한 것일 수도 있지만 주소에 관해서는 인터넷이 가장 높은 해상도를 가지고 있다고 생각했습니다.
알았어 - 내가 갖다줄게.
모두들 고마워요,
애쉴리
답변1
ISP가 하는 일은 표준 연결을 통해 추가 IP 주소를 라우팅하는 것입니다. ISP가 예상하는 것보다 크지 않은 한 어떤 넷마스크를 설정했는지는 실제로 중요하지 않습니다. 나는 그것들을 처리할 때 그것들을 모두 /32 추가 주소로 지정합니다.
답변2
애쉴리,
/32 서브넷 마스크를 사용하여 방화벽에 별칭을 정의해야 한다고 생각합니다. 방화벽은 공용 서브넷에 대한 모든 요청을 웹 서버로 전달할 수 있습니다. 물론 방화벽의 외부 인터페이스에는 /28 넷마스크가 있습니다.
하지만 이는 방화벽에 따라 크게 달라집니다. 어떤 제품을 사용하고 있나요?
HTH, 페라
답변3
서브넷은 함께 속하기 때문에 모든 주소에 대해 동일합니다.
/28은CIDR 표기법이는 255.255.255.240의 서브넷 마스크를 설명합니다.
답변4
NAT를 정의하기 위해 이러한 각 IP는~ 해야 하다/32로 정의됩니다. /28s로 정의하면 해당 CIDR 범위의 모든 16개 IP에 대한 트래픽이 정책에 정의한 첫 번째 NAT와 일치합니다.
편집: 위의 내용을 확장합니다. 이는 플랫폼에 따라 다를 수 있지만 Checkpoint NAT에 대한 내 경험을 바탕으로 다음을 고려하십시오. (나중에 Cisco에 대해서도 쓸 예정입니다. 표현하려면 좀 더 노력해야 합니다.)
이 예에서는 체크포인트 NAT 규칙을 다음 형식으로 고려할 수 있습니다.
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
이 경우 'Original Dst'에 관심이 있습니다. 내부 웹 서버로 리디렉션되는 203.214.69.1로 향하는 트래픽에 대한 규칙을 생성한다고 가정해 보겠습니다.
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
이 규칙의 문제점은 203.214.69.1/28이 [ 203.214.69.0 ... 203.214.69.15 ] 범위의 모든 IP로 향하는 트래픽과 일치한다는 것입니다.
그리고 후속 규칙(예: SMTP 트래픽을 203.214.69.2에서 내부 서버 192.168.1.2로 리디렉션)은 적중되지 않습니다.
이 접두사를 /28로 정의해야 하는 경우는 다음과 같습니다.
라우팅에 사용될 때. ISP가 하나뿐인 것 같으니 ISP의 기본 게이트웨이를 가리키는 고정 기본 경로가 있고 ISP에는 인터넷 연결 장치(방화벽? ). 이 경우 이러한 모든 IP에 대한 트래픽은 방화벽 정책에서 주소를 정의하는 방법에 관계없이 인터넷 게이트웨이로 라우팅됩니다.
모든 호스트가 동일한 브로드캐스트 도메인에 있어야 하는 실제 레이어 3 서브넷으로 사용하는 경우. 말씀하신 대로 이 주소는 내부 웹 서버에 대한 NAT에 사용되며 이 경우도 적용되지 않습니다.