Можно. Для этого необходимо:
- Чтобы публичные адреса на WAN и DMZ были из разных подсетей.
- Использовать Full Feature NAT, в котором настроить правила трансляции адресов между WAN- и LAN-адресами и не настраивать правила трансляции между адресами WAN и DMZ.
Ниже приведен пример использования публичных (глобальных) IP-адресов на DMZ-порту ZyWALL'а.
В нашем примере WAN IP ZyWALL'а - 213.14.86.73
На DMZ-порту назначен IP-адрес из другой подсети - 213.14.90.72
Убедитесь, что адреса на WAN- и DMZ-портах находятся в разных подсетях и компьютеры с публичными IP-адресами подключены к DMZ-порту.
Локальная сеть (192.168.1.0) в данном примере будет транслироваться в Интернет через WAN-порт.
Установите NAT в режим Full Feature.
Прописываем правило трансляции LAN IP-адресов в WAN IP.
Так как в DMZ-зоне будут использоваться публичные IP-адреса, то правила трансляции для них прописывать не нужно.
Для того чтобы адреса компьютеров в DMZ-зоне и сам DMZ-интерфейс ZyWALL'а отвечали на пинг, необходимо настроить Firewall и Anti-Probing.
Данная схема будет работать только в том случае, если на вышестоящем (например, у провайдера) маршрутизаторе прописан маршрут доступа к адресам, опубликованным в DMZ-зоне через WAN IP-адрес ZyWALL'а.
KB-1219
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.