I
когда приходит пакет на внутренний интерфейс он ему сразу делает dnat и отправляет в dmz
Size: a a a
2020 August 14
I
там есть еще странность конечно, пойду еще поковыряю
СБ
Я бы посмотрел как ходят пакеты tcpdumpом и отсюда уже бы делал правила NAT
I
по фв монитору да и по tcpdump на входе серый->публичный dmz, а на выходе серый->серый dmz
A
Еще дебильный вопрос, извиняюсь. схема следующая, за чекпоинтом условно внутренняя сеть и dmz, один публичный адрес висит непосредственно на чекпоинте в него хайдится внутренняя сеть, второй для dnat в dmz. вопрос из внутренней сети попадать в dmz по публичному адресу, который для dmz
мне не удалось заставить cp делать одновременно src и dst нат. Если только один из натов выносить на что-то стороннее. У меня проблема была в следующем: gray src(gsrc)->white dst(wdst) потом dst-nat на cp в серый dmz, получаем gsrc->gdst, машина с gdst отвечает пакетом "напрямую" gsrc, а, по идее, должна отвечать обратно cp, чтобы тот "обратил" nat и отправил пакет wdst->gsrc, но в cp нельзя подменить gsrc на src cp, поэтому получается асимметрия. Проблему решили через dns: внутри отдаётся серый адрес dmz, снаружи отдаётся белый адрес, который натится в dmz
I
мне не удалось заставить cp делать одновременно src и dst нат. Если только один из натов выносить на что-то стороннее. У меня проблема была в следующем: gray src(gsrc)->white dst(wdst) потом dst-nat на cp в серый dmz, получаем gsrc->gdst, машина с gdst отвечает пакетом "напрямую" gsrc, а, по идее, должна отвечать обратно cp, чтобы тот "обратил" nat и отправил пакет wdst->gsrc, но в cp нельзя подменить gsrc на src cp, поэтому получается асимметрия. Проблему решили через dns: внутри отдаётся серый адрес dmz, снаружи отдаётся белый адрес, который натится в dmz
Примерно такая же проблема
A
Значит или переносить nat, или "разруливать" через dns
IA
мне не удалось заставить cp делать одновременно src и dst нат. Если только один из натов выносить на что-то стороннее. У меня проблема была в следующем: gray src(gsrc)->white dst(wdst) потом dst-nat на cp в серый dmz, получаем gsrc->gdst, машина с gdst отвечает пакетом "напрямую" gsrc, а, по идее, должна отвечать обратно cp, чтобы тот "обратил" nat и отправил пакет wdst->gsrc, но в cp нельзя подменить gsrc на src cp, поэтому получается асимметрия. Проблему решили через dns: внутри отдаётся серый адрес dmz, снаружи отдаётся белый адрес, который натится в dmz
Ну вообще DNS zones для этого и придумали
IA
Зачем городить огород?
IA
Как вы себе представляете смену трех параметров в правиле, где можно менять только джва?
IA
Опять же, при мало мальском крупном трафике вы нагружаете шлюз
IA
Кому это было нужно? (С)
2020 August 15
I
Как вы себе представляете смену трех параметров в правиле, где можно менять только джва?
почему трех?
VO
мне не удалось заставить cp делать одновременно src и dst нат. Если только один из натов выносить на что-то стороннее. У меня проблема была в следующем: gray src(gsrc)->white dst(wdst) потом dst-nat на cp в серый dmz, получаем gsrc->gdst, машина с gdst отвечает пакетом "напрямую" gsrc, а, по идее, должна отвечать обратно cp, чтобы тот "обратил" nat и отправил пакет wdst->gsrc, но в cp нельзя подменить gsrc на src cp, поэтому получается асимметрия. Проблему решили через dns: внутри отдаётся серый адрес dmz, снаружи отдаётся белый адрес, который натится в dmz
Что значит отвечает "напрямую"?
2020 August 16
A
Что значит отвечает "напрямую"?
в пакете src не меняется, а dst меняется. получается пакет gsrc-gdst, ответный пакет будет тоже gsrc-gdst (src и dst поменяны местами), поэтому ответный пакет полетит по маршрутизации, минуя nat, и этот пакет будет дропнут, т.к. он будет с флагами syn-ack, а пакета syn в таблице соединений для данной пары адресов не было.
AS
То есть у вас два возможных пути из дмз во внутреннюю сетку: через Чекпоинт и через какой-то маршрутизатор, "напрямую"?
Простая схема в пэйнте сильно бы помогла.
Простая схема в пэйнте сильно бы помогла.
VO
в пакете src не меняется, а dst меняется. получается пакет gsrc-gdst, ответный пакет будет тоже gsrc-gdst (src и dst поменяны местами), поэтому ответный пакет полетит по маршрутизации, минуя nat, и этот пакет будет дропнут, т.к. он будет с флагами syn-ack, а пакета syn в таблице соединений для данной пары адресов не было.
На то и stateful inspection, чтобы в рамках сессии выполнить обратный NAT
VO
Gdst в wdst
A
Пользователь из 192,168,1,2 (gsrc) идет на 10.0.0.10(wdst, адрес принадлежит внешнему интерфейсу CP), там он натится в 172.16.1.2 (пакет имеет поля src 192.168.1.2, dst 172.16.1.2). "сервер" отвечает пакетом 172,16,1,2 -> 192,168,1,2, который просто маршрутизируется, и идёт "мимо" NAT. Чтобы пакет попал под "обратный" nat, он должен быть 172.16.1.2->адрес CP, т.е. на первом этапе NAT у пакета должны быть поменяны src-ip (на адрес CP) и dst-ip (это выполняется). По поводу третьего изменяемого поля - по идее, ещё srcport у пакета может быть изменён.