Несколько внешних IP адресов
Я уже второй раз сталкиваюсь с проблемой, что провайдер выделяет маленькую сетку на несколько внешних IP адресов, например xxx.218, xxx.219, xxx.220 и тд, но хочется все спрятать за одним файрволом. Файрволу назначается xxx.218, а остальные сервера прячуться за ним. Проблема в том, что когда к провайдеру придет запрос на xxx.219, он спросит по ARP, у кого xxx.219, но ARP через файрвол не пойдет и до сервера запрос не дойдет.
Первое решение повесить на файрвол алиасы для все внешних адресов, тогда файрвол будет по ARP отвечать на запросы по всем адресам. Оба раза я так и делал.
Но есть второе решение, настроить ARP сервер на файрволе, который бы выдавал свой MAC для всех адресов xxx.218, xxx.219, xxx.220 и тд. Кто-нибудь делал что-то подобное?
Насчет первого решения. Серверы за файрволом уже не имеют внешних адресов и надо настроить перенаправление (forwarding) портов для правильного распределения входящих запросов. Если сервер сам может делать запросы, то надо делать NAT, причем отправителем может выступать не только адрес файрвола, но любой из алиасов. Самое логичное сделать NAT с алиаса, закрепленного за сервером, который делает запрос.
В-общем, первое решение мне всем нравится, но не знаю, при каком количестве алиасов оно загнется. У меня пока было всего два алиаса - один для файрвола, другой для all-in-one сервера.
Первое решение повесить на файрвол алиасы для все внешних адресов, тогда файрвол будет по ARP отвечать на запросы по всем адресам. Оба раза я так и делал.
Но есть второе решение, настроить ARP сервер на файрволе, который бы выдавал свой MAC для всех адресов xxx.218, xxx.219, xxx.220 и тд. Кто-нибудь делал что-то подобное?
Насчет первого решения. Серверы за файрволом уже не имеют внешних адресов и надо настроить перенаправление (forwarding) портов для правильного распределения входящих запросов. Если сервер сам может делать запросы, то надо делать NAT, причем отправителем может выступать не только адрес файрвола, но любой из алиасов. Самое логичное сделать NAT с алиаса, закрепленного за сервером, который делает запрос.
В-общем, первое решение мне всем нравится, но не знаю, при каком количестве алиасов оно загнется. У меня пока было всего два алиаса - один для файрвола, другой для all-in-one сервера.