web-dev-qa-db-ja.com

Watchguard Firebox:ファイアウォールの背後にあるパブリックIPアドレスと可能な限り多くの使用可能なIPアドレス

ISPは、Watchguard fireboxx750eの背後にあるホストに割り当てる16個のパブリックIPアドレスを割り当てました。

IPアドレスは次のとおりです。x.x.x.176/ 28のうち、x.x.x.177がゲートウェイです。

ホストは、パブリックIPアドレスを直接割り当てる必要があるソフトウェアを実行するため、1:1 NATはオプションではありません。

オプションのインターフェイスを使用して、ファイアウォールの背後にあるホストにパブリックIPアドレスを割り当てる方法の例を示すこのドキュメントを見つけました: http://www.watchguard.com/help/configuration-examples/public_IP_behind_XTM_configuration_example_(en-US ).pdf

ただし、シナリオ1は、両方のインターフェイスで同じサブネットを使用できないため、実装できません。シナリオ2の場合、アドレス範囲を2つのサブネットに分割すると、オプションのインターフェイスで使用可能なホストが5に減少します(8-ネットワーク-ブロードキャスト-オプションのインターフェイスIP)。

この問題に対処し、使用可能なIPアドレスの数を最大化するためのより良い方法があるはずだと私は確信していますが、この特定のファイアウォールについてはあまり詳しくありません。

使用可能なIPアドレスを最大化しながら、パブリックIPアドレスを使用してファイアウォールの背後にホストを保持する方法に関する提案はありますか?

ありがとう

2
lbarbosa

ドロップインモードとセカンダリネットワークを使用して、パブリックIPアドレスとプライベートIPアドレスの両方を各インターフェイスで使用できるようにする必要があります。次に、プライベートIPアドレスに必要なNATを実行でき、パブリックIPアドレスにはNATを実行できません。各Fireboxインターフェイスに構成するプライベートIPアドレスは、そのインターフェイスから接続されたプライベートアドレスホストのDGになります。[インターフェイス]タブで構成されたパブリックIPアドレスは、各FireboxインターフェイスのパブリックアドレスホストのDGになります。ドロップインモードでは、同じパブリックアドレススペースを使用できます。アドレスブロックをサブネット化する必要なしに、各インターフェイスで。

1
joeqwerty

ネイティブファームウェアを実行しているFireboxでこれが発生する可能性について話すことはできませんが、pfSenseに変換されたx750eで同様のセットアップを行っています。

WANインターフェイスと、WAN IPを持つデバイスが接続されているインターフェイスとの間にブリッジを作成しました。これには、トラフィックが強制的に通過するという利点があります。これらのサーバーにアクセスするためのファイアウォール。これらのデバイスのゲートウェイをWANインターフェイスのIPに設定して、これを実現できます。

WAN側とデバイス側を別々に切り替える必要があることを覚えておくことが重要です。そうしないと、少なくとも同じスイッチ上の別々のVLANに切り替える必要があります。そうしないと、トラフィックがファイアウォールを通過しなくなる可能性があります。

0
phil-lavin