IPFW/NAT veřejné IP

Dan Lukes dan at obluda.cz
Sat Oct 8 11:21:09 CEST 2011


Milan Cizek wrote:
> potřeboval bych poradit s následujícím. Na IGW (FreeBSD) mám vnější
> interface, ne kterém mám jako aliasy několik Public IP. Tyto IP následně v
> natd.conf pomocí redirect_address přesměrovávám na vnitřní IP. Toto
> přesměrování ale nefunguje, pokud se přistupuje z vnitřní sítě.

To logicky nemuze, protoze ${natd_interface} je vnejsi interface a pres 
nej tato komunikace vubec neprobiha.

> Jak tedy paketům
> na IGW říci, že mají jít na lokální IP, když neprochází NATem (vlastně ani
> nemusí)

No to samozrejme musi - chces aby paket odeslany na nejakou IP adresu 
dorazil na nejakou uplne jinou, coz bez nejake formy prekladu zadnym 
normalnim zpusobem nedosahnes.

A pokud je navic klientska stanice ve stejne IP siti jako dotceny 
server, dostanes se do VELMI vaznych problemu protoze "zpetne" pakety 
nebudou pres router prochazet vubec a i kdybys tam tedy preklad mel, 
bude to uplne jedno. Potreboval bys dvojity preklad a jestlize je rec o 
serveru na kterem nemuzes delat pokusy, protoze je dulezity, tak na 
takovem serveru nic podobneho urcite delat nechces, ani kdybysis to 
peclive odladil nekde uplne jinde. Ver mi.

1. Prirozenym resenim tohoto problemu je - proste vubec nedopustit aby 
vzniknul. Jestli mas nejake servery, ktere maji byt verejne dostupne, 
maji mit verejne adresy.

Zadny preklad pak nepotrebujes, protoze pristupujes primo, z venku i 
zevnitr. Pokud mas pred vnitrnima serverama preklad jen kvuli jejich 
"ochrane" tak od toho neni preklad, ale firewall. Stavovy ti zajisti 
stejnou uroven ochrany jako preklad.

2. Jestlize verejne adresy z jakehokoliv duvodu mit nemuzes, porad jeste 
neni nic ztraceno. Nic zasadniho ti nebrani na ty servery pristupovat 
pod jednim jmenem "zvenku" a jinym "zevnitr". Proste zarid na tech 
serverech takovou konfiguraci, aby bylo jedno, pod jakym jmenem se na ne 
klient obraci a z vnitrnich stroju na ne pristupuj pod jinym jmenem 
(takovym, ktere se rovnou resolvi na prislusnou vnitrni adresu).

Zadny preklad pak nepotrebujes, protoze z vnitrnich stanic na server 
pristupujes primo.

Nenapada me server u ktereho by to takhle neslo, ale pokud takovy preci 
jen nahodou mas, docela by me zajimalo jaky - a pak se muzeme pobavit o 
tom konkretnim pripadu.

3. Dalsi moznosti je nakonfigurovat prislusne zaznamy do resolveru, 
ktery ty vnitrni stanice pouzivaji - ony tak na stejny dotaz dostanou v 
odpovedi jinou IP, nez jako dostane cely vnejsi svet. Takze mohou na 
servery pristupovat take primo. Ale tahle konfigurace ma sve vlastni 
problemy, ktere nemusi byt snadne (a nekdy mozne) vyresit.

1-2-3 je serazeno jak postupne vzrusta narocnost daneho reseni a riziko 
post-implementacnich komplikaci (a take jak se v dane siti komplikuje 
diagnostika budoucich problemu).

Asi by se daly nalezt i nejaka dalsi reseni, ktere by v teto rade mohly 
poracovat.

Dan


More information about the Users-l mailing list