NAT od wewnątrz do wewnątrz, czyli sprzężenie zwrotne NAT, rozwiązuje problemy z NAT szpilki do włosów podczas uzyskiwania dostępu do serwera WWW na zewnętrznym interfejsie ASA lub podobnego urządzenia z komputerów na interfejsie wewnętrznym. Zapobiega to utrzymywaniu przez administratorów DNS zduplikowanej wewnętrznej strefy DNS, która ma odpowiednie adresy RFC1918 dla swoich serwerów, które są translowane NAT na adresy publiczne. Nie jestem inżynierem sieci, więc mogę coś przeoczyć, ale wydaje się, że konfiguracja i implementacja jest prosta. Asymetryczny routing może stanowić problem, ale można go łatwo złagodzić.
Z mojego doświadczenia wynika, że administratorzy / inżynierowie sieci wolą, aby ludzie z systemu po prostu uruchamiali split-dns, zamiast konfigurować swoje zapory ogniowe, aby poprawnie obsługiwały spinki do włosów NAT. Dlaczego to?
źródło
ad.example.com
podobna (tak jak powinna być!), Problem ten będzie istniał dla wszystkich publicznychexample.com
wpisów DNS i żadne wewnętrzne dane nie zostaną opublikowane na zewnątrz. Oczywiście, jeśli nazwałeś swoją reklamę taką samą jak swoją publiczną obecnością, musisz użyć split-DNS, ale nie jest to najlepszy projekt AD.Odpowiedzi:
Jest kilka powodów, dla których nie chciałbym tego zrobić:
źródło
Oczywiście nie ma na to jednoznacznej odpowiedzi , ale mogłem wymyślić kilka powodów:
źródło
Zastrzeżenie - jest to odpowiedź na przynętę płomieniową.
Częstym powodem, dla którego uważam, że takich rozwiązań jest unikany, jest irracjonalny strach / nienawiść do NAT ze strony inżynierów sieciowych . Jeśli chcesz zobaczyć przykłady dyskusji na ten temat, sprawdź te:
Z tego, co mogę powiedzieć, duża część tego strachu wynika z kiepskiej implementacji NAT przez Cisco (więc w tym sensie może to nie być irracjonalne), ale moim zdaniem „klasyczny” inżynier sieci jest tak dobrze wyszkolony w „NAT jest zły światopogląd, że nie widzi oczywistych przykładów takich jak ten, w których ma to sens i faktycznie upraszcza rozwiązanie.
Proszę bardzo - oddaj głos na treść swojego serca! :-)
źródło
Moim gościem jest:
Na plus od szpilki do włosów NAT,
W przypadku małej sieci o niskim wymaganiu ruchu do serwera wewnętrznego wybrałbym spinkę NAT. W przypadku większej sieci z wieloma połączeniami z serwerem, gdzie ważna jest przepustowość i opóźnienia, skorzystaj z split-dns.
źródło
Z mojego punktu widzenia zmieniło się to nieco między przejściem z Cisco Pix na ASA. Zgubiłem
alias
polecenie. I ogólnie dostęp do adresu zewnętrznego z interfejsu wewnętrznego zapory Cisco wymaga pewnego rodzaju oszustwa. Zobacz: Jak mogę uzyskać dostęp do mojego wewnętrznego serwera na zewnętrznym adresie IP?Jednak nie zawsze musimy utrzymywać zduplikowaną wewnętrzną strefę DNS. Cisco ASA może przekierowywać zapytania DNS dotyczące adresów zewnętrznych na adresy wewnętrzne, jeśli skonfigurowano je w instrukcji NAT. Ale wolę zachować wewnętrzną strefę dla publicznej strefy DNS, aby mieć tę szczegółowość i móc zarządzać nią w jednym miejscu, a nie przejść do zapory.
Zazwyczaj jest tylko kilka serwerów, które mogą wymagać tego w środowisku (poczta, sieć, kilka usług publicznych), więc nie był to ogromny problem.
źródło
Typically, there are only a few servers that may require this within an environment
może w niektórych miejscach, ale pracowałem na uniwersytecie z ponad 100 serwerami / urządzeniami w strefie DMZ, a także pracowałem u dostawcy testów / certyfikacji z ponad 40 serwerami w trzech strefach DMZ. W przypadku mniejszych firm możesz mieć tylko jeden lub dwa serwery wystawione na zewnątrz, ale niekoniecznie dotyczy to wszystkich.Mogę wymyślić kilka powodów:
źródło
Gdybym miał użyć pętli zwrotnej NAT, byłbym trochę zaniepokojony tym, jak urządzenie NAT będzie obsługiwać sfałszowane adresy źródłowe. Jeśli nie sprawdzi, który interfejs przyszedł pakiet, mógłbym sfałszować adresy wewnętrzne z sieci WAN i wysłać pakiety na serwer z adresami wewnętrznymi. Nie mogłem uzyskać odpowiedzi, ale być może uda mi się narazić serwer na atak przy użyciu adresu wewnętrznego.
Skonfigurowałem sprzężenie zwrotne NAT, podłączono do przełącznika DMZ i wysyłałem pakiety z sfałszowanymi wewnętrznymi adresami źródłowymi. Sprawdź dziennik serwera, aby zobaczyć, czy zostały odebrane. Potem poszedłem do kawiarni i sprawdziłem, czy mój dostawca usług internetowych blokuje sfałszowane adresy. Jeśli stwierdzę, że mój router NAT nie sprawdza interfejsu źródłowego, prawdopodobnie nie użyłbym pętli zwrotnej NAT, nawet jeśli mój dostawca usług internetowych sprawdza.
źródło