Inside-to-Inside-NAT (auch NAT-Loopback genannt) behebt Haarnadel-NAT-Probleme beim Zugriff auf einen Webserver über die externe Schnittstelle eines ASA oder eines ähnlichen Geräts von Computern über die interne Schnittstelle. Dadurch wird verhindert, dass DNS-Administratoren eine doppelte interne DNS-Zone mit den entsprechenden RFC1918-Adressen für ihre Server verwalten müssen, die mit öffentlichen Adressen NATted sind. Ich bin kein Netzwerktechniker, daher fehlt mir möglicherweise etwas, aber es scheint ein Kinderspiel zu sein, dies zu konfigurieren und zu implementieren. Asymmetrisches Routing kann ein Problem sein, kann jedoch leicht gemildert werden.
Nach meiner Erfahrung bevorzugen Netzwerkadministratoren / -ingenieure, dass Systemleute nur Split-DNS ausführen, anstatt ihre Firewalls so zu konfigurieren, dass sie mit NAT-Haarnadeln richtig umgehen. Warum ist das?
quelle
ad.example.com
oder ähnlich ist (wie es sein sollte!), Besteht dieses Problem für alle öffentlichenexample.com
DNS-Einträge und es wird nichts internes extern veröffentlicht. Natürlich, wenn Sie Ihre AD die gleichen wie Ihre Präsenz in der Öffentlichkeit genannt haben Sie müssen Split-DNS verwenden, aber das ist kein Best - Practice - AD - Design.Antworten:
Es gibt einige Gründe, warum ich es nicht tun würde:
quelle
Natürlich kann es keine eindeutige Antwort darauf geben, aber ich könnte mir eine Reihe von Gründen vorstellen:
quelle
Haftungsausschluss - Dies ist eine Antwort von Flamebait.
Ein häufiger Grund, aus dem ich denke, dass Lösungen wie diese vermieden werden, ist eine irrationale Angst / ein irrationaler Hass der Netzwerkingenieure vor NAT . Wenn Sie einige Diskussionsbeispiele dazu sehen möchten, sehen Sie sich diese an:
Nach allem, was ich sagen kann, ist ein Großteil dieser Befürchtung auf die schlechten NAT-Implementierungen von Cisco zurückzuführen (in diesem Sinne ist dies möglicherweise nicht irrational), aber meiner Meinung nach ist der "klassische" Netzwerktechniker im Bereich NAT so gut ausgebildet schlechte "Weltanschauung, dass er oder sie offensichtliche Beispiele wie dieses nicht sehen kann, in denen es vollkommen sinnvoll ist und die Lösung tatsächlich vereinfacht.
Los geht's - stimmen Sie nach Herzenslust ab! :-)
quelle
Meine Vermutung ist:
Auf der positiven Seite für Haarnadel NAT,
Für ein kleines Netzwerk mit geringen Anforderungen an den Datenverkehr zu einem internen Server würde ich Haarnadel-NAT wählen. Für ein größeres Netzwerk mit vielen Verbindungen zum Server und wenn Bandbreite und Latenz wichtig sind, wählen Sie Split-DNS.
quelle
Aus meiner Sicht hat sich dies zwischen dem Übergang von Cisco Pix zu ASA ein wenig geändert. Verlor den
alias
Befehl. Im Allgemeinen erfordert der Zugriff auf die externe Adresse über die interne Schnittstelle einer Cisco-Firewall einige Tricks. Siehe: Wie erreiche ich meinen internen Server über die externe IP?Wir müssen jedoch nicht immer eine doppelte interne DNS-Zone verwalten. Der Cisco ASA kann DNS-Abfragen für externe Adressen an interne Adressen umleiten, wenn dies in der NAT-Anweisung konfiguriert ist. Ich bevorzuge es jedoch, eine interne Zone für die öffentliche DNS-Zone beizubehalten, um diese Granularität zu erreichen und dies an einem Ort zu verwalten, anstatt auf die Firewall zuzugreifen.
Normalerweise gibt es nur wenige Server, die dies in einer Umgebung erfordern (E-Mail, Web, einige öffentliche Dienste), sodass dies kein großes Problem darstellt.
quelle
Typically, there are only a few servers that may require this within an environment
Vielleicht an einigen Orten, aber ich habe an einer Universität mit mehr als 100 Servern / Geräten in einer DMZ und bei einem Test- / Zertifizierungsanbieter mit mehr als 40 Servern in drei DMZs gearbeitet. Bei kleineren Unternehmen sind möglicherweise nur ein oder zwei Server nach außen gerichtet, dies muss jedoch nicht bei allen der Fall sein.Ich kann mir ein paar Gründe vorstellen:
quelle
Wenn ich NAT-Loopback verwenden würde, wäre ich etwas besorgt darüber, wie das NAT-Gerät mit gefälschten Quelladressen umgehen wird. Wenn nicht überprüft wird, an welcher Schnittstelle das Paket eingegangen ist, kann ich interne Adressen aus dem WAN fälschen und Pakete mit internen Adressen an den Server senden. Ich konnte keine Antworten erhalten, kann den Server jedoch unter Verwendung einer internen Adresse gefährden.
Ich würde NAT-Loopback einrichten, den DMZ-Switch anschließen und Pakete mit gefälschten internen Quelladressen senden. Überprüfen Sie das Serverprotokoll, um festzustellen, ob sie empfangen wurden. Dann würde ich zum Coffee Shop gehen und sehen, ob mein ISP gefälschte Adressen blockiert. Wenn ich feststellen würde, dass mein NAT-Router die Quellschnittstelle nicht überprüft, würde ich wahrscheinlich keinen NAT-Loopback verwenden, selbst wenn mein ISP dies überprüft.
quelle