我承認──我有點迷失了。
我們的 ISP 為我們的 ADSL2 帳戶提供了幾個額外的 IP 位址。他們發送的電子郵件指定了子網路 255.255.255.240 的 IP 位址:
203.214.69.1/28 至 203.214.69.14/28 閘道:203.206.182.192
我嘗試將它們作為別名添加到我們的防火牆配置中的連接中(這樣我就可以隨後創建一些 1-1 NAT 規則來公開我們的內部 Web 伺服器)。
在防火牆的連線設定中新增別名時,我應該使用 28 還是 32 作為子網路遮罩?
一個互聯網位址的子網路怎麼可能是28?也許我是嚴重錯誤的,但我認為互聯網在地址方面具有最高解析度。
好的 - 讓我來吧。
感謝大家,
阿什利
答案1
ISP 所做的就是透過標準連線路由這些額外的 IP 位址。實際上,您設定的網路遮罩並不重要,只要它不大於 ISP 期望的值即可。我在處理它們時只是將它們全部指定為 /32 額外地址。
答案2
阿什利,
我認為您應該使用 /32 子網路遮罩在防火牆上定義別名。您的防火牆可能會將公用子網路的所有請求轉送到您的(例如)網路伺服器。當然,防火牆的外部介面將具有 /28 網路遮罩。
但這在很大程度上取決於您的防火牆。您使用什麼產品?
HTH、佩拉
答案3
所有位址的子網路都相同,因為它們屬於同一組。
/28 是CIDR 表示法它描述了子網路遮罩 255.255.255.240。
答案4
為了定義 NAT,這些 IP 中的每一個必須被定義為/32。如果您將它們定義為 /28s,則流向該 CIDR 範圍內所有 16 個 IP 的流量將與您在政策中定義的第一個 NAT 相符。
編輯:擴充上述內容;這可能會因平台而異,但根據我在 Checkpoint NAT 上的經驗,請考慮以下事項。 (稍後我也會寫思科;需要更多的努力來表達)。
為本範例的目的,檢查點 NAT 規則可以考慮採用以下形式:
|| Original || Translated ||
|| Src | Dst | Port || Src | Dst | Port ||
在這種情況下,我們關心的是「原始 Dst」。假設我們正在為發送至 203.214.69.1 的流量建立一條規則,該規則將被重新導向到內部 Web 伺服器。
Original
Source: Any
Destination: 203.214.69.1/28
Port: TCP/80. TCP/443
Destination:
Source: Original
Destination: 192.168.1.1/32
Port: Original
此規則的問題在於 203.214.69.1/28 將符合發送至以下範圍內任何 IP 的流量:[ 203.214.69.0 ... 203.214.69.15 ]
並且任何後續規則(例如,將 203.214.69.2 的 SMTP 流量重定向到內部伺服器 192.168.1.2)將永遠不會被命中。
需要將此前綴定義為 /28 的情況是:
用於路由時。聽起來你只有一個 ISP,所以我希望你會有一條指向 ISP 的預設網關的靜態預設路由,並且你的 ISP 將為你分配的 /28 提供一條靜態路由,指向你面向互聯網的設備(防火牆? ) 。在這種情況下,無論您如何在防火牆策略中定義位址,所有這些 IP 的流量都會路由到您的網際網路閘道。
當您將其用作真正的第 3 層子網路時,所有主機都需要位於相同廣播網域中。正如您所說,這些位址將用於 NAT 到內部網路伺服器,這種情況也不適用。