Networking

考慮到地址塊,我的託管服務提供商是否給了我錯誤的網關?

  • August 18, 2017

我將 1U 伺服器與 1U pfsense 防火牆(第一次這樣做)並置,數據中心給了我以下資訊:

IPv4 address block: x.x.x.225/28
Gateway: x.x.x.226
Subnet mask: 255.255.255.240

使用可用的線上子網計算器,我看到我的可用 IP 範圍是x.x.x.225 - x.x.x.238

提供商給了我一根從他們的交換機到我的防火牆的電纜。

  1. 我應該給防火牆什麼 IP 地址,他們在網關上犯了錯誤嗎?該網關似乎是我自己的可用 IP 之一。
  2. 我應該在防火牆本身中設置什麼 IP 地址作為網關?

我應該給防火牆什麼IP地址

您想要的任何地址不是.225.226.239

他們在網關上犯了錯誤嗎?該網關似乎是我自己的可用 IP 之一。

不,他們沒有犯錯。我個人不是這種設置的忠實粉絲,但我以前見過。基本上,他們的路由器位於您的廣播域內。理想情況下,他們會/31為您的上行鏈路提供一個和一個 vlan 標籤,但也許他們正試圖節省 IP 地址?

我應該在防火牆本身中設置什麼 IP 地址作為網關?

他們告訴你設置的IP地址——x.x.x.226


注意事項:此設置存在潛在問題。如果您將公共 IP 地址分配給其他設備並將您的防火牆用作預設網關,當數據包返回時,它們可能會繞過您的防火牆,因為上游將不知道將數據包轉發到您的防火牆 - 它可能只是將它們直接轉發到您的設備(因為它們的網關在您的子網內)。

解決這個問題的方法是:

  1. 讓他們給你一個 /31 用於他們網路的上行鏈路
  2. 將您的防火牆置於透明模式。不要將其用作網關,而是將其與您的上行鏈路“內聯”到他們的網路,並將他們的路由器設置為所有具有公共 IP 地址的機器上的預設網關
  3. 將所有公共 IP 地址分配給防火牆並使用 1:1 NAT 將它們轉換為內部 IP(噁心)

引用自:https://serverfault.com/questions/869399