通过pfsense和draytek 2860为webserver提供专用IP

Question

我们有一条租用线路，有8个公用IP地址。这连接到我们的Draytek 2860路由器。

从这里开始，我们有一个用于办公计算机的内部网络，还有一个用于数据中心的网络(它承载了几个客户服务器)。

我们安装了pfsense防火墙，我们希望使用它来管理数据中心的NAT和路由。

我想在我们的数据中心中创建一个web服务器，在我分配的一个免费的公共静态IP地址的pfsense防火墙后面。我如何配置这个？

我想我应该为我想要在draytek上的数据中心中使用的所有IP设置DMZ，然后在我的pfsense上设置为1:1 NAT，但不确定。

我需要我的内部网络、数据中心网络和own服务器上的所有传出流量来自他们自己的专用公共IP地址。

Answer 1

您真的不应该在一个NAT后面放置一个面向公共的way服务器(繁忙的way服务器是填充NAT连接表的一种非常快速的方法)。

如果您在NAT模式中使用Draytek，而不是路由模式，则其DMZ特性实际上是从一个公共IP地址到特定内部IP地址的1:1 NAT映射。

对于您的具体需求，我没有足够的细节，但是假设一个技术解决方案是可以接受的，这可能就是我处理这个问题的方法。

               +---------+       +---------+       +------------+
               |         | <===> | pfSense | <===> | Datacentre |
               |         |       +---------+       +------------+
               #         |
Internet <===> # Draytek |       +----------------+
               #         | <===> |                |
               |         | <===> | Office network |
               |         | <===> |                |
               +---------+       +----------------+

我使用#来表示NAT边界。

1. 在Draytek上为Datacentre设置一个单独的LAN。
2. 在路由或透明模式下使用pfSense防火墙，而不是NAT (我不太熟悉pfSense，但我假设这是可能的)。
3. 让Draytek管理数据中心和Office网络之间的路由，并酌情使用其内部防火墙。
4. 通过特定的端口转发或作为DMZ主机，根据需要将尽可能多的公共IP输入到Datacentre LAN。

如果我误解了你的网络拓扑结构，请用一个合适的原理图更新你的问题。例如，您可能意味着您的租用线路在Draytek和pfSense上终止，因此它们是“并排”的。但我不认为你是这个意思。