Como posso configurar um Firewall sem NAT?

2

Temos 16 endereços IP do nosso provedor e estão configurando um firewall do SonicWall. Eu gostaria de ter o SonicWall do NAT para a LAN, mas atuar como um firewall apenas (sem NAT) para os servidores que estão usando alguns dos 16 endereços. Como faço para configurar isso? Se eu definir a sub-rede da WAN para incluir os 16 IPs, o SonicWall não roteará o tráfego para a interface da LAN. Devo definir a sub-rede da WAN para incluir apenas as que estamos dedicando para NAT e, em seguida, manter as outras na LAN?

Ponto relacionado: Como posso definir vários endereços IP para uma interface SonicWall LAN?

ESCLARECIMENTO: Os servidores não são NAT; eles estão usando seus IPs públicos diretamente.

    
por SRobertJames 16.01.2011 / 18:09

2 respostas

5

Como Tom sugeriu nos comentários, o que você precisa fazer é configurar um NAT estático de 1: 1 para seus (espero) servidores voltados para o público DMZ. Sua fonte NAT (muitos-para-um provável) permitirá que sua sub-rede LAN atue como um dos seus / 16 de acordo.

Por exemplo:

  • sub-rede LAN: 192.168.0.0/24
  • Sub-rede da DMZ: 192.168.1.0/24
  • Sub-rede WAN: 200.200.200.0/16

Configurando sua rede local e suas redes DMZ em sub-redes separadas (se você usa VLANs ou uma interface separada em seu firewall; deve ter uma interface "DMZ" ou "opcional"), que são roteadas e filtradas pelo firewall , agora você pode configurar NAT 1: 1 para atribuir estaticamente um endereço DMZ a um endereço público, mas também ter uma configuração de filtragem para permitir o tráfego de entrada da Internet e da sua LAN (e vice-versa, se um de seus servidores precisar falar internamente com um Controlador de Domínio) apenas nas portas e nos endereços IP de origem desejados.

Para o resto do mundo, seus servidores parecem estar "fora", mas estão realmente isolados para / da Internet e de / para sua LAN, melhorando a segurança permitindo que você crie regras de entrada para a Internet tráfego mas também saída regras para permitir apenas um servidor aceitar conexões estabelecidas de entrada 80/443, mas não permitir que ele inicie conexões de saída para qualquer porta TCP / UDP (e assim adicionar uma camada de defesa contra tráfego de botnet zumbificado, ou bots de spam, etc., o seu servidor Web deve estar comprometido).

Se os seus servidores NÃO estiverem atrás do seu firewall, você não obterá nenhum benefício de firewall, log de firewall centralizado, etc. e isso não é uma coisa boa.

    
por 16.01.2011 / 18:31
1

Indo um pouco mais longe (e dando um passo atrás para pensar sobre isso), você poderia fazer um gateway de sub-rede transparente com proxy ARP, conforme descrito em RFC 1027 e também neste documento da SonicWall . Não tenho certeza se o seu firewall é um dos modelos compatíveis, mas isso deve funcionar para você.

EDIT: dependendo do que você está fazendo, você pode precisar usar o modo Bridging da Camada 2 vs. o modo Transparent; veja este documento para uma comparação dos dois.

    
por 17.01.2011 / 17:46