É possível ter uma máquina atrás de um firewall E ter um endereço IP público?

A maioria dos firewalls não corporativos opera em um dos dois modos: NAT ou ponte

NAT é a topologia tradicional em que você está pensando. O firewall tem o único IP público na rede e está traduzindo entre ele e uma classe privada não-roteável. Nesse caso, as máquinas "atrás" do firewall têm endereços IP privados e, portanto, não são publicamente roteáveis.

No modo em ponte, o firewall é configurado para cobrir efetivamente um "espaço" de IP. Este espaço é basicamente a rede / máscara de rede na qual os IPs estão localizados. Por exemplo, para a classe 74.52.192.0/29 publicamente roteável, que abrange 74.52.192.1 - 74.52.192.7, pode ser configurado em um firewall com a interface de firewall tendo qualquer endereço no intervalo. Se o firewall estiver no modo de ponte e configurado como tal, você poderá ter máquinas conectadas como qualquer um dos outros IPs na rede 74.52.192.0/29 (o que o firewall está usando obviamente não está disponível).

É absolutamente possível fazer isso. Eu trabalho para uma universidade que teve sorte o suficiente para obter uma rede da Classe B (uma rede / 16 na notação CIDR) quando eles estavam passando para fora (muito mais ou menos 20-25 anos atrás). Neste exato momento, minha estação de trabalho, uma mente de estação de trabalho, está estacionada em um endereço IP publicamente roteável. Na verdade, temos relativamente poucos endereços RFC1918 em uso. Os poucos que estão em uso são usados para conformidade com PCI (os padrões obrigam NAT) e gerenciamento de rede. Você simplesmente não pode obter a minha estação de trabalho da Internet pública porque o firewall impede o acesso.

Na verdade, as máquinas em nosso santuário seguro mais interno também estão sendo executadas em endereços IP públicos. Existem dois firewalls entre eles e a internet pública. Quando contratamos "varreduras de segurança" de terceiros, temos a capacidade de fornecer acesso irrestrito a partir de um endereço IP que eles especificam, o que lhes dá a melhor alternativa para a varredura "na mesma rede". E então nós tiramos isso deles, e eles não podem voltar. Isso funciona muito bem. Caramba, é assim que a Internet deveria funcionar em um momento mais confiantes antes que o spam fosse inventado. Ainda pode.

Na verdade, o IPv6 foi originalmente projetado em torno de eliminando a necessidade de NAT . Haverá endereços suficientes para todos, de modo que a necessidade de se esconder atrás de tais gateways foi (na teoria, de qualquer forma) tornada redundante. Em outras palavras, faça a Internet funcionar da maneira que deveria funcionar. O apoio da NAT foi implementado muito tarde no processo, em grande parte devido à firme defesa da parte do establishment do InfoSec que valoriza a invisibilidade como uma medida defensiva.

A principal coisa a ter em mente aqui é que o NAT não é uma função fundamental de um firewall, ele é apenas intimamente associado. Quando usado com um firewall, ele apenas obscurece quais superfícies de ataque podem existir por trás dele. Nosso firewall voltado para a Internet não está fazendo nenhum NAT, e nosso firewall voltado para a intranet está apenas fazendo um pouco (relacionado à PCI).

Eu conheço muitos profissionais de computação que se arrepiam quando descobrem que o endereço IP do dispositivo é publicamente roteirizado. Não é menos seguro que um endereço RFC1918 quando estiver atrás de dispositivos de segurança de perímetro corretamente configurados. Esse conceito de 'IP público é ruim' está consagrado nos padrões PCI e terá que ser reavaliado à luz de implantações mais amplas do IPv6.

Is it possible to have a machine behind a firewall AND have a public IP address? What is this called or where can I find more info?

Claro. Depende de você ter espaço de endereçamento IP roteavel e um sistema operacional de firewall que também possa atuar como um roteador (Linux e outros).

Se você tiver um espaço de endereço real que possa sub-rede, isso é trivial. Basta colocar uma sub-rede em uma das interfaces de rede dentro do firewall.

Você pode até fazer isso usando apenas uma única sub-rede, se fizer alguma mágica com o proxy arp. Pseudo-pontes com proxy-ARP .

Como você pode ver nas outras respostas, há várias maneiras de fazer isso, dependendo de quais dispositivos você tem e de quais necessidades você precisa.

Por exemplo, a série Juniper Netscreen de dispositivos de firewall tem um "IP Mapeado" ou uma construção MIP - usando isso, você atribui um MIP que é um endereço IP real e roteável separado do endereço IP principal do firewall e informa o Firewall que IP privado por trás do firewall para passar os pacotes de volta para. O firewall usa políticas para decidir quais serviços são repassados / encaminhados para o IP privado. O NAT é tratado pelo firewall; o computador IP privado não precisa necessariamente saber o que é o MIP.

O antigo 3St SuperStack3 tinha uma função DMZ, onde os IPs públicos eram definidos como "na DMZ". Você configurou seu sistema como se fosse um sistema IP público, mas novamente as políticas no dispositivo controlavam quais serviços eram permitidos.

Claro, você sempre pode conectar uma máquina diretamente à Internet e ter um firewall de software sendo executado nela (Firewall do Windows para Windows, iptables para Linux):)