Nicht schlecht Als Alias IPs anlegen ist schonmal nicht verkehrt, da dein /28 sehr wahrscheinlich nicht geroutet wird, sondern du ein Gateway als WAN in dem Netz hast?
Ich würde zwar eher was in der Art 10.140.XXX/28 nehmen - das macht die Zuordnung zwischen Public und Private IP einfacher, aber whatever suits your needs
Nope, da ist dein Denkfehler. Du willst die einzelnen IPs nachdem was ich rauslese ja wirklich komplett auf eine interne IP verteilen. Also so als wäre der Rechner direkt public. Ergo ist das ein Job für 1:1 NAT.
Jein. 1:1 NAT mappt erstmal komplett die externe IP die du als Alias IP konfiguriert hast auf die interne Adresse. Welche Ports dann erlaubt sind, definieren deine Firewall Regeln (auf dem WAN Interface, Destination ist dann aber die interne IP, nicht die externe, da die NAT VOR den Regeln greift). Wenn du Geräte von anderen hast in deiner DMZ, von denen du nicht weißt was sie tun (gruselige Vorstellung für mich) und die einfach komplett freigeben willst - wofür dann eine Firewall Also wenn du sie nicht filtern willst und Regeln erstellen, dann kannst du sie auch direkt ins WAN hängen. Andernfalls musst du eben eine Firewall Regel anlegen wie oben gesagt und musst da eben definieren, welche Ports oder Protokolle erlaubt sind. Würde mir zwar nie in die Tüte kommen, dass ich für irgendwen einfach alles aufmache, aber wie du möchtest. Ich würde ein oder zwei Aliase für Ports definieren (UDP und TCP z.B.) und würde dann eben mal ein paar übliche Verdächtige erlauben. Andernfalls - wofür dann überhaupt die Firewall davor
In der Regel aber darauf achten, dass Destination der Regel nicht 46.x.x.x ist, sondern da NACH NAT gefiltert wird die 10.140.191.x
