Добрый день,

У меня возник вопрос, каким образом лучше всего опубликовать несколько серверов (2 web и 1 mail) с помощью D-Link DFL-1660, при условии, что веб и почтовые сервера должны иметь каждый собственный публичный IP.

Провайдер отдает подсеть /28(wan1net) которая приходит в wan1. Например, один IP(80.80.80.1) отдан для самого DFL-1660, из под него работает NAT для локальной сети. А вот для веб серверов(80.80.80.2, 80.80.80.3) и почтового сервера(80.80.80.4) необходимо использовать отдельные IP.

Немного ознакомившись с документацией и почитав форум понял, что достигнуть необходимого результата можно множеством способов, а вот какой будет использовать оптимально не могу решить, просьба поделится опытом людей давно пользующимися DFLами, так как у D-Link я не нашел Best Practice на эту тему.

Найденные мною способы реализации:
1. Настроить перенаправление портов с помощью дополнительных IP-адресов (http://dlink.ru/ru/faq/85/481.html). Из неприятных моментов, при этом способе пингуется только IP фаервола, что не очень хорошо для публичных сервернов на мой взгляд. Можно конечно пробросить icmp на локальный адрес, но имхо слишком много правил получается в итоге, для столь простой задачи.
2. Сделать Transparent Mode между wan и dmz. Но насколько я понял это не самое красивое решение и не позволяет, если в будущем понадобиться использовать высокую отказоустойчивость (High Availability Clusters, HA) без перехода на другой способ публикации этих серверов.
3. Использовать Proxy ARP, лично не успел попробовать, но судя по всему все склоняется к этому решению.
4. Так же прочитал, на форуме, что реализацией может служить использование Маршрутизации на основе правил (PBR). Попробовать тоже не успел.

Так же вопрос к товарищам уже имеющим опыт работы на DFL, Transparent Mode и Proxy ARP имеют какие-нибудь ограничения по защите IP в зоне DMZ (скажем можно использовать Application Layer Gateways, ALG для почтового сервера)?

Заранее благодарен за помощь.

Вообще говоря, я не вижу ничего плохого в назначении доп. адресов на WAN1 порту и проброс нужных сервисов (в том числе пинга) на нужные серверы.

Кол-во правил будет то же - 2. Но в группе сервисов - нужные для проброса. Например http-all + ping-inbound.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В вашем (простом случае) все вполне делается на дополнительных адресах и портмаппинге, как пишет Юрий

Если хочется красиво, то делайте transparent mode - на серверах белые IP, шлюз провайдерский, но при этом DFL рулит трафиком как надо (например, извне только разрешенные порты)
Этот вариант будет крайне необходим если у вас появится IP телефония через DFL
Дополнительным бонусом будет то, что в случае крайней необходимости можно убрать DFL и сервера будут работать напрямую

Для варианта ARP proxy надо будет еще один IP выделить под дополнительный шлюз т.к. на внутренний интерфейс выделяется меньшая подсеть, чем у вас есть. Ваша /28 не так велика, чтобы разбрасываться адресами

PBR в вашем случае не поможет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Уважаемые коллеги, YuriAM и danilovav, выражаю Вам свою признательность за оказанную помощь в выборе подходящего решения.