IPFW/NAT veřejné IP
Dan Lukes
dan at obluda.cz
Sat Oct 8 11:21:09 CEST 2011
Milan Cizek wrote:
> potřeboval bych poradit s následujícím. Na IGW (FreeBSD) mám vnější
> interface, ne kterém mám jako aliasy několik Public IP. Tyto IP následně v
> natd.conf pomocí redirect_address přesměrovávám na vnitřní IP. Toto
> přesměrování ale nefunguje, pokud se přistupuje z vnitřní sítě.
To logicky nemuze, protoze ${natd_interface} je vnejsi interface a pres
nej tato komunikace vubec neprobiha.
> Jak tedy paketům
> na IGW říci, že mají jít na lokální IP, když neprochází NATem (vlastně ani
> nemusí)
No to samozrejme musi - chces aby paket odeslany na nejakou IP adresu
dorazil na nejakou uplne jinou, coz bez nejake formy prekladu zadnym
normalnim zpusobem nedosahnes.
A pokud je navic klientska stanice ve stejne IP siti jako dotceny
server, dostanes se do VELMI vaznych problemu protoze "zpetne" pakety
nebudou pres router prochazet vubec a i kdybys tam tedy preklad mel,
bude to uplne jedno. Potreboval bys dvojity preklad a jestlize je rec o
serveru na kterem nemuzes delat pokusy, protoze je dulezity, tak na
takovem serveru nic podobneho urcite delat nechces, ani kdybysis to
peclive odladil nekde uplne jinde. Ver mi.
1. Prirozenym resenim tohoto problemu je - proste vubec nedopustit aby
vzniknul. Jestli mas nejake servery, ktere maji byt verejne dostupne,
maji mit verejne adresy.
Zadny preklad pak nepotrebujes, protoze pristupujes primo, z venku i
zevnitr. Pokud mas pred vnitrnima serverama preklad jen kvuli jejich
"ochrane" tak od toho neni preklad, ale firewall. Stavovy ti zajisti
stejnou uroven ochrany jako preklad.
2. Jestlize verejne adresy z jakehokoliv duvodu mit nemuzes, porad jeste
neni nic ztraceno. Nic zasadniho ti nebrani na ty servery pristupovat
pod jednim jmenem "zvenku" a jinym "zevnitr". Proste zarid na tech
serverech takovou konfiguraci, aby bylo jedno, pod jakym jmenem se na ne
klient obraci a z vnitrnich stroju na ne pristupuj pod jinym jmenem
(takovym, ktere se rovnou resolvi na prislusnou vnitrni adresu).
Zadny preklad pak nepotrebujes, protoze z vnitrnich stanic na server
pristupujes primo.
Nenapada me server u ktereho by to takhle neslo, ale pokud takovy preci
jen nahodou mas, docela by me zajimalo jaky - a pak se muzeme pobavit o
tom konkretnim pripadu.
3. Dalsi moznosti je nakonfigurovat prislusne zaznamy do resolveru,
ktery ty vnitrni stanice pouzivaji - ony tak na stejny dotaz dostanou v
odpovedi jinou IP, nez jako dostane cely vnejsi svet. Takze mohou na
servery pristupovat take primo. Ale tahle konfigurace ma sve vlastni
problemy, ktere nemusi byt snadne (a nekdy mozne) vyresit.
1-2-3 je serazeno jak postupne vzrusta narocnost daneho reseni a riziko
post-implementacnich komplikaci (a take jak se v dane siti komplikuje
diagnostika budoucich problemu).
Asi by se daly nalezt i nejaka dalsi reseni, ktere by v teto rade mohly
poracovat.
Dan
More information about the Users-l
mailing list