NATなしでファイアウォールを設定するにはどうすればよいですか？

トムがコメントで示唆したように、あなたがする必要があるのは、静的な1：1 NAT（私は願っています）DMZされた公開サーバー用にセットアップすることです。あなたのソースNAT（多対1の可能性が高い）により、LANサブネットはそれに応じて/ 16の1つとしてNAT outになります。

例えば：

• LANサブネット：192.168.0.0/24
• DMZサブネット：192.168.1.0/24
• WANサブネット：200.200.200.0/16

LANとDMZネットワークを別々のサブネットに設定する（VLANまたはファイアウォールで別々のインターフェースを使用するかどうか。「DMZ」または「オプション」インターフェースが必要）。ファイアウォールによってルーティングおよびフィルタリングされ、1：1 NATを設定して、DMZアドレスをパブリックアドレスに静的に割り当てるだけでなく、フィルタリングを設定することもできます。必要なポートと送信元IPアドレスでのみ、インターネットからのインバウンドトラフィックを許可しますおよび LANから（またはその逆、サーバーの1つがドメインコントローラーと内部で通信する必要がある場合など）。

他の世界では、サーバーは「外部」にあるように見えますが、サーバーはインターネットとの間およびLANとの間で実際に分離されており、インターネットトラフィックだけでなく、インバウンドルールも作成できるため、セキュリティが向上します。 outbound Webサーバーが確立されたインバウンド80/443接続の受け入れのみを許可し、TCP/UDPポートへのアウトバウンド接続の開始を許可しない（したがって、ゾンビ化されたボットネットトラフィックに対する防御層を追加する）というルール、またはスパムボットなどが侵害されたためにWebサーバーに必要です）。

サーバーがファイアウォールの背後にない場合、ファイアウォールや一元化されたファイアウォールロギングなどのメリットは得られず、それは良いことではありません。

もう少し掘り下げて（そしてこれについて考えるために一歩後退して）、 RFC 1027 およびこの SonicWallからのKBドキュメント）で説明されているように、プロキシARPを使用して透過サブネットゲートウェイを実行できます。 。ファイアウォールがサポートされているモデルの1つであるかどうかはわかりませんが、これでうまくいくはずです。

編集：実行している内容によっては、レイヤー2ブリッジングモードとトランスペアレントモードを使用する必要がある場合があります。 2つの比較については、 このドキュメント を参照してください。