Как выдать белые ip за фаерволом?

Question

[sn00pik]

Добрый день!

Получил от провайдера подсеть белых IP.
Необходимо машинам за фаерволом - pfsense, выдать эти IP и разграничить по портам, оставить только 80, 443

1. У меня 3 сервера, мне нужно два белых ИП для фаервола +3 для сервера?
   
2. Надо ли мне, что то от провайдера ?
   
3. Внутренний порт фаервола будет шлюзом для серверов, как тогда трафик из вне попадет на сервер?
   

Answer 1

[vreitech]

я бы разместил сервера с белыми IP в отдельном VLAN, на файерволе в этом же VLAN создал виртуальный сетевой интерфейс, который бы объединил сетевым мостом, не назначая мосту вообще никакого IP, с кабелем к провайдеру, и настраивал файервол исходя из такой конфигурации.
в этом случае вам нужно 3 белых IP для серверов. от провайдера вроде ничего не нужно, кроме собственно кабеля и настроек. трафик извне на сервер попадёт от провайдера через правила файервола по проводу от провайдера.

Comments

[sn00pik]

я Вас правильно понял ? (номер влан для наглядности)

Vlan 10 - провайдер
|
pfsense
|
Vlan 11 - сервера

(и я свободно назначаю серверу любой из выделенных мне провайдером ИП)

[vreitech]

sn00pik, номер vlan должен быть один и тот же, иначе вместо одной подсети (одного широковещательного домена) получим две.
не настраивайте на pfsense на данном vlan функцию маршрутизации, иначе для маршрутизации придётся задействовать адреса на виртуальных интерфейсах на pfsense. задача - белые IP на серверах.
представьте, что вы воткнули провод от провайдера в обычный неуправляемый сетевой коммутатор, а из него три провода на сервера и каждому по белому IP. всё просто, всё работает. теперь надо без лишних сложностей (без использования дополнительных IP) добавить между провайдером и коммутатором файервол. для "без использования дополнительных IP" сегменты по обоим сторонам от файервола должны работать как единая подсеть (единый широковещательный домен), а для этого придуман сетевой мост. следовательно настраиваете в pfsense сетевой мост, включая в него оба сетевых адаптера.

Answer 2

[sn00pik]

а разве может быть интерфейс который смотри к провайдеру без ИП ?

Comments

[Максим Гришин]

Можно настроить тот же IP, что у одного из серверов, на который будет НАТ клиентов внутренней сети. А проброс порта настроить на один из серверов.

[vreitech]

может, если кроме него есть интерфейс, который смотрит к провайдеру с IP.

[sn00pik]

НАТ не подходит, у сервера должен быть белый Ип

Answer 3

[nfire]

У разных провайдеров разные способы предоставления адресов. У одного просто по DHCP выдаются и достаточно просто подключить все ваши устройства-сервера через обычный маршрутизатор и они получат ваши свободные адреса. У других - нужно назначать вручную. У третьих - к провайдеру может подключится только одно устройство с одним адресом, а остальные подключаются и настраиваются через него весьма хитрыми путями.
В общем все сложно и смотрите ответ SyavaSyavа.