SRo*_*mes 3 firewall nat ip sonicwall
我们有 16 个来自 ISP 的 IP 地址,并且正在设置 SonicWall 防火墙。我想让 SonicWall 为 LAN 执行 NAT,但仅为使用 16 个地址中的一些地址的服务器充当防火墙(无 NAT)。我该如何设置?如果我将 WAN 的子网设置为包含 16 个 IP,则 SonicWall 不会将流量路由到 LAN 接口。我是否应该将 WAN 子网设置为仅包含我们专用于 NAT 的子网,然后将其他子网保留在 LAN 上?
相关要点:如何为 SonicWall LAN 接口设置多个 IP 地址?
澄清:服务器没有经过 NAT;他们直接使用他们的公共 IP。
正如汤姆在评论中建议的那样,您需要做的是为您的(我希望)DMZ 面向公众的服务器设置一个静态 1:1 NAT。您的源 NAT(可能是多对一)将允许您的 LAN 子网相应地作为 /16 之一进行 NAT。
例如:
通过在单独的子网上设置 LAN 和 DMZ 网络(无论您使用 VLAN 还是防火墙上的单独接口;它应该有一个“DMZ”或“可选”接口),它们由防火墙路由和过滤,您可以现在设置 1:1 NAT 以将 DMZ 地址静态分配给公共地址,但也有过滤设置以允许来自 Internet和来自您的 LAN 的入站流量(反之亦然,假设您的一台服务器需要与域控制器内部)仅在您希望的端口和源 IP 地址上。
对于世界其他地方,您的服务器似乎在“外部”,但它们实际上与 Internet 和 LAN 隔离,通过允许您为 Internet 流量创建入站规则来提高安全性,但出站规则只允许 Web 服务器接受已建立的入站 80/443 连接,但不允许它发起到任何 TCP/UDP 端口的出站连接(从而增加一层防御僵尸网络流量或垃圾邮件机器人等。您的网络服务器是否应该因为受到威胁)。
如果您的服务器不在防火墙后面,则您无法从防火墙、集中式防火墙日志记录等中受益,这不是一件好事。
| 归档时间: |
|
| 查看次数: |
6936 次 |
| 最近记录: |