Endereços IP de alias – qual máscara de sub-rede usar?

tag-icon tag-icon networking firewall adsl
Endereços IP de alias – qual máscara de sub-rede usar?

Confesso - estou um pouco perdido.

Nosso ISP nos forneceu vários endereços IP adicionais para nossa conta ADSL2. O e-mail enviado especificava endereços IP com sub-rede 255.255.255.240:

203.214.69.1/28 a 203.214.69.14/28 gw: 203.206.182.192

Estou tentando adicioná-los como aliases à conexão em nossa configuração de firewall (para que eu possa criar posteriormente algumas regras NAT 1-1 para expor nossos servidores web internos).

Ao adicionar aliases na configuração de conexão do nosso firewall, devo usar 28 ou 32 como máscara de sub-rede?

Como um endereço de Internet pode ter uma sub-rede igual a 28? Talvez eu esteja seriamente enganado, mas pensei que a Internet tivesse a resolução mais alta quando se tratava de endereços.

Ok - deixe-me pegar.

obrigado a todos,

Ashley

Responder1

O que o ISP está fazendo é rotear esses endereços IP extras pela conexão padrão. Na verdade, não importa qual máscara de rede você define, desde que não seja maior do que o esperado pelo ISP. Eu apenas especifico todos eles como /32 endereços extras quando lido com eles.

Responder2

Ashley,

Acho que você deveria definir os aliases no seu firewall com uma máscara de sub-rede/32. Seu firewall pode encaminhar todas as solicitações da sua sub-rede pública para o seu (por exemplo) servidor web. A interface externa do seu firewall terá, obviamente, uma máscara de rede /28.

Mas isso depende muito do seu firewall. Qual produto você está usando?

HTH, PEra

Responder3

A sub-rede será a mesma para todos os endereços porque eles pertencem um ao outro.

O /28 é umNotação CIDRque descreve uma máscara de sub-rede de 255.255.255.240.

Responder4

Para efeitos de definição de NATs, cada um desses IPsdeveser definido como /32. Se você defini-los como /28s, o tráfego para todos os 16 IPs nesse intervalo CIDR corresponderá ao primeiro NAT definido em sua política.

EDIT: Expandindo o acima; isso pode variar dependendo da plataforma, mas com base na minha experiência no Checkpoint NAT, considere o seguinte. (Também escreverei sobre a Cisco, posteriormente; é preciso um pouco mais de esforço para expressar).

Para efeitos deste exemplo, as regras Checkpoint NAT podem ser consideradas na forma:

|| Original         || Translated       ||
|| Src | Dst | Port || Src | Dst | Port ||

Neste caso, estamos preocupados com o 'Dst Original'. Vamos supor que estamos criando uma regra para o tráfego destinado a 203.214.69.1, que será redirecionado para um servidor web interno.

Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443

Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original

O problema com esta regra é que 203.214.69.1/28 corresponderá ao tráfego destinado a qualquer IP no intervalo: [ 203.214.69.0 ... 203.214.69.15 ]

E quaisquer regras subsequentes (por exemplo, redirecionar o tráfego SMTP para 203.214.69.2 para o servidor interno 192.168.1.2) nunca serão atingidas.

Os casos em que este prefixo precisará ser definido como /28 são:

  1. Ao ser usado para roteamento. Parece que você tem apenas um ISP, então eu esperaria que você tivesse uma rota padrão estática apontando para o gateway padrão do seu ISP, e seu ISP teria uma rota estática para o /28 alocado apontando para o seu dispositivo voltado para a Internet (firewall? ). Nesse caso, o tráfego de todos esses IPs será roteado para o seu gateway de Internet, independentemente de como você define os endereços na sua política de firewall.

  2. Quando você a usa como uma verdadeira sub-rede de camada 3, onde todos os hosts precisam estar no mesmo domínio de transmissão. Como você disse, esses endereços serão usados ​​para NAT para servidores web internos, este caso também não se aplica.

informação relacionada