内部から内部へNAT aka NATループバックはヘアピンを解決しますNATの外部インターフェイス上のWebサーバーにアクセスするときの問題内部インターフェイス上のコンピューターからのASAまたは同様のデバイス。これにより、DNS管理者は、パブリックアドレスにNAT変換されたサーバーに対応するRFC1918アドレスを持つ重複する内部DNSゾーンを維持する必要がなくなります。私はネットワークエンジニアではないので、何かが足りないかもしれませんが、これは構成と実装が非常に簡単なようです。非対称ルーティングは問題になる可能性がありますが、簡単に軽減できます。
私の経験では、ネットワーク管理者/エンジニアは、NATヘアピンを適切に処理するようにファイアウォールを構成するのではなく、システム担当者がsplit-dnを実行するだけの方を好みます。これはなぜですか?
私がそれをしない理由はいくつかあります:
明らかに、これには明確な答えはありませんが、いくつかの理由が考えられます。
免責事項-これはフレームベイトの答えです。
このような解決策が回避されると私が思う一般的な理由は、NATの不合理な恐怖/憎悪がネットワークエンジニアの側にあることです )これに関する議論のいくつかの例を見たい場合は、これらをチェックしてください:
私が知ることができることから、この恐怖の多くは、NATのCiscoの貧弱な実装に起因します(つまり、その意味でそれは非合理的ではないかもしれません)。 「NATは悪い」という世界観でよく学ばれているため、このような明白な例を見ることができず、完全に意味があり、実際にソリューションを簡素化しています。
よろしくお願いします-心ゆくまで投票してください! :-)
私の推測は:
ヘアピンNATのプラス面では、
内部サーバーへのトラフィック要件が低い小規模ネットワークの場合、ヘアピンNATを使用します。サーバーへの接続数が多く、帯域幅と待ち時間が重要な大規模ネットワークの場合は、split-dnを使用します。
私はいくつかの理由を考えることができます:
私の観点からは、これはCisco PixからASAへの移行の間に少し変化しました。 alias
コマンドを失った。また、一般に、Ciscoファイアウォールの内部インターフェイスから外部アドレスにアクセスするには、何らかのトリックが必要です。参照: 外部IPで内部サーバーにアクセスするにはどうすればよいですか?
ただし、内部DNSゾーンの複製を常に維持する必要はありません。 Cisco ASAは、NATステートメントで設定されている場合、外部アドレスのDNSクエリを内部アドレスにリダイレクトできます。しかし、その粒度とファイアウォールに近づくのではなく、1つの場所でこれを管理できます。
通常、環境(メール、Web、いくつかの公共サービス)内でこれを必要とする可能性のあるサーバーは数台しかないため、大きな問題にはなりませんでした。
NATループバックを使用する場合、NATデバイスがスプーフィングされたソースアドレスをどのように処理するかについて少し心配になります。パケットが着信したインターフェイスを確認しない場合は、WANから内部アドレスを偽装し、内部アドレスを使用してパケットをサーバーに送信できます。返信は得られませんでしたが、内部アドレスを使用してサーバーを危険にさらす可能性があります。
私はNATループバックをセットアップし、DMZスイッチに接続して、スプーフィングされた内部送信元アドレスでパケットを送信します。サーバーログをチェックして、それらが受信されたかどうかを確認してください。それから私はコーヒーショップに行き、私のISPがスプーフィングされたアドレスをブロックしているかどうかを確認します。 NATルーターがソースインターフェイスをチェックしていないことがわかった場合、ISPがチェックしている場合でも、おそらくNATループバックを使用しません。