Networking
通過 pfsense 和 draytek 2860 為網路伺服器提供專用 IP
我們有一條擁有 8 個公共 IP 地址的租用線路。這連接到我們的 Draytek 2860 路由器。
從這裡開始,我們有一個用於辦公電腦的內部網路和另一個用於數據中心的網路(託管一些客戶伺服器)。
我們已經安裝了一個 pfsense 防火牆,我們想用它來管理數據中心的 NAT 和路由
我想在我們的數據中心中創建一個 Web 伺服器,位於我已分配的一個免費公共靜態 IP 地址的 pfsense 防火牆後面。我該如何配置?
我想我應該為我想在 draytek 的數據中心內使用的所有 IP 設置 DMZ,然後在我的 pfsense 上將其設置為 1:1 NAT,但不確定。
我需要內部網路、數據中心網路和網路伺服器上的所有傳出流量都來自它們自己的專用公共 IP 地址
你真的不應該在一個 NAT 後面放置一個面向公眾的網路伺服器(繁忙的網路伺服器是填充 NAT 連接表的一種非常快速的方法)。
如果您在 NAT 模式而不是路由模式下使用 Draytek,它的 DMZ 功能實際上是從您的一個公共 IP 地址到特定內部 IP 地址的 1:1 NAT 映射。
我沒有您的具體要求的足夠詳細資訊,但假設技術解決方案是可以接受的,這可能是我解決問題的方式。
+---------+ +---------+ +------------+ | | <===> | pfSense | <===> | Datacentre | | | +---------+ +------------+ # | Internet <===> # Draytek | +----------------+ # | <===> | | | | <===> | Office network | | | <===> | | +---------+ +----------------+
我曾經
#
表示 NAT 邊界。
- 在 Draytek 上為數據中心設置一個單獨的 LAN。
- 在路由或透明模式下使用 pfSense 防火牆而不是 NAT(我對 pfSense 並不特別熟悉,但我認為這是可能的)。
- 讓 Draytek 管理數據中心和辦公室網路之間的路由,酌情使用其內部防火牆。
- 通過特定的埠轉發或作為 DMZ 主機,將盡可能多的公共 IP 通過數據中心 LAN 打入。
如果我誤解了您的網路拓撲,請使用合適的示意圖更新您的問題。例如,您可能意味著您的租用線路在 Draytek和pfSense 上終止,因此它們是“並排”的。但我不認為那是你的意思。