(Zywall USG 300)NAT LANからドメイン名を介して社内サーバーにアクセスするときにバイパスされる
私の状況はこのようなものです。 i共同ネットワークソリューション内から多数のWebサイトをホストします。ネットワーク上には基本的に3つのカテゴリがあります。
- 静的dhcpリースが与えられた、mac経由で登録された既知のパブリック
- 特定のdhcp範囲からのリースが与えられた匿名LAN接続
- スイッチ、UNIXホストファイアウォール
ここで、関心のある次のホストを検討してください
- 111.111.111.111(Zywall USG 300 WAN)
- 192.168.1.1(ZyWall USG 300 LAN)ロードバランスとbwモニターに加えてNATを処理します
- 192.168.1.2(Linux www)はmydomain1.tldとmydomain2.tldを提供します
- 192.168.123.123(ランダムLANクライアント)はLANからmydomain1.tldにアクセスします
- 23.234.12.253(ランダム外部クライアント)はWAN経由でmydomain1.tldにアクセスします
DNS Aレコードは、mydomain1.tldとmydomain2.tldの両方が111.111.111.111を指すように設定されています。Linuxwwwは、VirtualHost構成でhttpパーツを提供し、ドキュメントルートpr ServerNameを設定しますが、これはそれほど興味深いことではありません。
NATルールは、111.111.111.111:80を192.168.1.2:80(1:1 NAT)に変換します。
- タイプ:仮想サーバー
- インターフェース:WAN
- 元のIP:任意
- マップされたIP:192.168.1.2
- 元のポート:80
- マップされたポート:80
NATループバックがアクティブになっていると、外部インターフェイスからデバイスに到達できなくなります(ただし、LAN-> WAN IP:80が機能する場合は試してみました)
私たちの問題は次のとおりです。
共同ネットワークの外部(23.234.12.253ホストの例)から http://mydomain1.tld にアクセスすると、すべてが正常になり、zywallはポート80を介してリクエストを受信し、それをLinuxホストのhttpdにマップします。ただし、LAN側(社内、192.168.123.123の例のホスト)からNATを通過しようとすると、Zywallポート80ファイアウォールでフィルタリングされます。
これを知っているのは、ポート443が管理インターフェイス用に開いており、 https://mydomain1.tld zywallログインのプロンプトが表示されるためです。
つまり私の結論は、111.111.111.111にアクセスするLANは、NATテーブルをバイパスしながら、実際には192.168.1.1にルーティングされるということです。 。
NAT /ポリシールートを設定する方法を知る必要があります。これにより、LAN> WAN> LANは、「クイックネームサーバールックアップ」などを実行する代わりに、適切なネットワーク変換で機能します。あります。
解決策は、mydomainX.tldに配置して適切なIPにマップする内部DNSルックアップテーブル(/ etc/hostsファイルのようなもの)の保守であることになりました。しかし、これを回避する必要があり、賞金があります。 LANを可能にする回答の場合-> WAN IP:PORTはNATテーブルを通過します
それで私はこれに自分で苦労し、答えを見つけました。この作業を標準のNATルール(世界中がWebサイトにアクセスできるようにするために機能しているのと同じルール)を使用するには、元のIPがWANになるようにルールを調整するだけです。 IP。次に、NATループバックを有効にすると、すべて正常に機能します。
他にご不明な点がありましたらお知らせください。