WatchGuard firebox: endereços IP públicos por trás do firewall com o máximo possível de endereços IP utilizáveis

2

Nosso ISP nos atribuiu 16 endereços IP públicos que queremos atribuir aos hosts por trás de uma fireeira Watchguard x750e.

Os endereços IP são: x.x.x.176 / 28 dos quais x.x.x.177 é o gateway.

Os hosts estarão executando o software que precisa ser atribuído diretamente ao endereço IP público, de modo que a NAT de 1: 1 não seja uma opção.

Eu encontrei este documento que dá exemplos sobre como atribuir endereços IP públicos a hosts atrás do firewall, usando uma interface opcional: link

No entanto, não consigo implementar o cenário 1, pois ele não me permitirá usar a mesma sub-rede em ambas as interfaces. Quanto ao cenário 2, dividir o intervalo de endereços em 2 sub-redes diminuirá os hosts utilizáveis na interface opcional para 5 (ip de interface opcional de 8 - difusão de rede).

Estou convencido de que deve haver uma maneira melhor de resolver esse problema e maximizar o número de endereços IP utilizáveis, mas não estou muito familiarizado com esse firewall específico.

Há alguma sugestão sobre como manter os hosts atrás do firewall com endereços IP públicos enquanto maximiza os endereços IP utilizáveis?

obrigado

    
por lbarbosa 21.10.2013 / 23:16

2 respostas

1

Você deve ser capaz de usar o modo Drop-In e as Redes Secundárias para permitir que seus endereços IP públicos e privados sejam usados em cada uma das interfaces. Você pode então fazer qualquer NAT que seja necessário para os endereços IP privados e nenhum NAT para os endereços IP públicos. O endereço IP privado que você configura para cada interface da Firebox se tornará o DG para hosts com endereço particular conectados fora dessa interface. O endereço IP público configurado na guia Interfaces se tornará o DG para hosts endereçados publicamente em cada interface do Firebox. O modo Drop-In permitirá que você use o mesmo espaço de endereço público em cada interface sem precisar sub-redes no bloco de endereço.

    
por 22.10.2013 / 00:49
0

Não posso falar sobre a possibilidade disso em um Firebox executando o firmware nativo, mas tenho uma configuração semelhante em um x750e convertido em pfSense.

Eu criei uma ponte entre a interface WAN e a interface à qual os dispositivos com IPs WAN estão conectados. Isso tem a vantagem de o tráfego ser forçado pelo firewall para acessar esses servidores. Você pode definir o gateway desses dispositivos para o IP da interface WAN para conseguir isso.

É importante lembrar que o lado da WAN e o lado dos dispositivos devem ser comutados separadamente ou, pelo menos, VLANs separadas no mesmo comutador. Além disso, o tráfego pode não ser forçado pelo firewall.

    
por 21.10.2013 / 23:51