Мы только что зарегистрировались на comcast business с 5 статическими IP и имеем внутреннюю частную сеть. Мы небольшой бизнес, и я надеюсь, что мы сможем купить маршрутизатор/брандмауэр, который просто позволит мне указать некоторые внешние «пары» IP/порт и направить их на внутренние «пары» IP/порт.
Наш старый модем T1 (netopia) делал это довольно легко, и я не думал, что это будет проблемой. Теперь я смотрю на Firewalls и т. д. в Интернете и не могу найти ничего, что могло бы сделать это легко. Может кто-нибудь порекомендовать простое (надеюсь, не слишком дорогое) решение?
решение1
Некоторое время назад я решил похожую ситуацию с помощью небольшого сервера Linux, настроенного как межсетевой экран-мост за маршрутизатором Comcast — две сетевые карты, одна из которых подключена напрямую к маршрутизатору, а другая — к моей внутренней сети. Таким образом, я смог фильтровать трафик после того, как маршрутизатор Comcast выполнил NAT, без необходимости выполнять еще один шаг NAT.
Вот хороший документ по настройке межсетевого экрана-моста в Debian, но в любом крупном дистрибутиве должны быть необходимые вам модули и инструменты:http://www.annahegedus.com/tutorials/60-bridge-firewall
решение2
Вам нужен брандмауэр, который будет выполнять NAT 1-к-1. Я использую для этого устройства Watchguard XTM 2 и 3. Вы не открываете все порты, так как это двухэтапный процесс. Первая часть — настройка SNAT, от публичного к частному. Затем вам нужно создать правило брандмауэра, которое определяет, какой трафик может проходить через это правило SNAT. Этот сценарий полезен для нескольких серверов, которые все должны обслуживать 80/443, например.
Если у вас есть один сервер, который должен обслуживать 80/443, а другой — FTP, вы можете настроить правила NAT с одним публичным IP-адресом для обслуживания обоих внутренних серверов, поскольку порты у них разные.
решение3
В зависимости от ваших требований вы можете делать все, что захотите, с чем угодно, от бюджетного домашнего офисного продукта до высококлассного корпоративного продукта. Существуют буквально тысячи продуктов, которые удовлетворят ваши потребности, и у всех из них есть свои собственные базы поклонников. Лучше всего определить свой бюджет на продукт, а затем посмотреть, что вы можете себе позволить. Я лично поклонник линейки продуктов Watchguard, и конкретно для вас я бы, вероятно, порекомендовал продукт XTM3, но он может быть за пределами вашего бюджета.
решение4
У меня была та же проблема, но оказалось, что решение ЕСТЬ.Эта статьябыло недостающим звеном для меня. Оказывается, это очень просто, и модем полностью оборудован для этого.
Суть в том, что Comcast назначает статический IP на стороне LAN (т. е. внутренней сети), а не на стороне WAN. Поэтому спросите Comcast, какой у вас блок статических IP, затем настройте нужную вам машину на этом IP с IP и маской подсети от маршрутизатора и используйте IP маршрутизатора в качестве настройки шлюза для машины.
Затем все, что вам нужно сделать, это настроить правила брандмауэра в Firewall -> Port Configuration -> True Static IP Port Mgmt, если вам нужен брандмауэр. Или, если он вам не нужен, установите флажок «отключить брандмауэр для True Static IP Subnet Only» на первой странице брандмауэра.
Видетьстатьядля получения более подробной информации и скриншотов.