Como configurar o NAT de origem (IP privado = saída IP pública)

Question

Como configurar o NAT de origem (IP privado = saída IP pública)

#1 resposta do (4 votos)

2

Estou executando o VMWare ESXi Free e tenho o Zentyal SBS 3.2 rodando como um Gateway.

Eu tenho 5 IPS Públicos ( CIDR/29 , vamos chamá-los 69.1.1.1 - 69.1.1.5) e atualmente Zentyal está vinculado a 69.1.1.1 como o Gateway, com os outros 4 IPs Públicos configurados como Interfaces Virtuais em Zentyal ( wan2-wan5)

Tenho máquinas na Rede Privada (10.34.251.x) que, ao ir para fora (para o Google, por exemplo) devem ser vistas pela Internet como um IP diferente do Gateway (69.1.1.1), isso é porque nossas máquinas precisam ser capazes de se comunicar com APIs de terceiros que esperam que essas solicitações venham de um IP específico.

Pelo que pude encontrar, SNAT (Source NAT) em Zentyal é usado para conseguir isso, mas não tenho certeza de como configurá-lo e não consigo encontrar uma parte específica da Documentação para ele no Zentyal.

Eu tentei configurar isso de maneiras diferentes, sem resultados e, neste momento, não tenho ideia se estou indo completamente errado ou se minha falta de experiência com a rede e a terminologia associada está me impedindo de colocar os valores corretos nos campos corretos.

Eu recebo o seguinte formulário para configurar regras "SNAT" no Zentyal:

Talvezalguémpossaofereceralgumasorientaçõesedefiniçõesparaoscamposacima?

EndereçoSNATEsteéoIPPúblicoqueeuqueromascarar?
InterfacedesaídaDeveissopelaminhaplacaderedeexterna(umconectadoàredepública),ouéainterface"Privada"? Parece que essa deve ser a interface Externa, pois desejo que o tráfego da rede interna seja enviado por essa interface (usando um IP diferente do normal, de qualquer maneira)
Origem É a origem de a rede interna (um dos IPs privados?), um IP público que eu quero mascarar como, ou algo totalmente diferente?
Destino É este um lugar na Internet (por exemplo, "Apenas isso para o Site Google.com "/ IP) ou estou me permitindo ficar confuso novamente?
Serviço Estou assumindo que isso me permite restringir a quais serviços esta regra se aplicará, mas é para um serviço na rede interna ou um serviço sendo acessado na rede externa ?

Se eu puder oferecer mais detalhes ou informações para tornar o que estou tentando fazer mais claro, terei prazer em fazê-lo.

Honestamente, qualquer tipo de ajuda aqui seria muito apreciado. Eu não sou um NetOps nem nada perto, passo a maior parte do meu dia escrevendo código e todo o meu "time" nesta empresa consiste em "eu, eu e eu", enquanto eu tento ampliar minha KB em todas as oportunidades possíveis , Eu só posso aprender muito, tão rápido e eu sinto que com a rede, especialmente há muito, juntamente com uma curva de aprendizado para cada solução que gosta de (da minha perspectiva limitada) usar uma terminologia ligeiramente diferente da qual estou acostumado (e eu não tenho exatamente a experiência necessária para cruzar essas coisas com as coisas que eu já conheço no contexto).

internet networking nat

por DavidScherer 25.06.2014 / 22:10

1 resposta

Tags internet networking nat

Definido permanentemente o MTU no Ubuntu 14.04 em um Amazon VPC Instância de reinicialização suave do OpenStack vs. reinicialização do sudo

score 4 · Answer 1

Depois de "Forçar Brute" a configuração (pela segunda vez) eu consegui fazer isso funcionar.

A primeira vez que tentei configurar isso de todas as formas imagináveis, não tive as Interfaces Virtuais atribuídas à interface WAN. Aparentemente em Zentyal (possivelmente o mundo da rede inteiramente), o roteador / gateway / o que é chamado tecnicamente, não está completamente "ciente" dos outros IPs em seu CIDR (supondo que você tenha algo diferente de um / 32 com mais de 1 IP)

Depois de atribuir as Interfaces Virtuais (chamadas wan2 - > wan4, realmente não importantes), nem pensei em tentar configurá-las imediatamente, pois, devido à minha falta de experiência em rede, não achava que eles eram importantes, nem eu sabia o que eles eram (ainda não, realmente, nem eu entendo porque é importante).

Com todos os IPs extras no CIDR atribuídos a você pelo seu ISP / DC / ARIN atribuídos a interfaces virtuais (eu acho que outras soluções como o PFSense chama NICs virtuais ou vNICs, para referência), você pode seguir a configuração guia abaixo. Tenha em mente que eu sou completamente inútil quando se trata de redes e eu fiz "força bruta" nessa configuração até que funcionou (eu tentei de tudo) para que o seu Mileage May Vary (significativamente). Eu poderia estar completamente errado e ter tido sorte.

Dito isto, definições!:

Endereço SNAT Este é o IP que você está tentando "mascarar" quando se conecta a um site como o Google.
Interface de saída Eu queria enviar o tráfego fora da rede pública, então deixei este conjunto como minha interface "Externa". Isso funcionou para o meu propósito.
Source Este é o IP da Máquina / VM sentado atrás da sua rede Privada que você quer ser visto na Internet como tendo o endereço definido acima no campo endereço SNAT .
Destino Acredito que você usaria isso para alterar qual site vê qual IP. Então, se eu quisesse mostrar apenas 69.1.1.2 para o Google e queria que o Facebook viesse o IP Router / Zentyal, eu poderia definir isso aqui (o Google usa Round Robin DNS, então provavelmente um mau exemplo, porque você nem sempre se conecta ao mesmo IP quando você visita o google, não tenho certeza de como você lidaria com isso!)
Service Presumivelmente, isso funciona de forma semelhante ao Destino , exceto que não tenho idéia se afeta o Local Serviço ou o Serviço Remoto. Já que é imediatamente após o campo Denstination , pode ser seguro assumir que isso afeta o endereço de destino.

Acimavocêpodeverminhaconfiguraçãousandomarcadoresdeposição,issoestáfuncionandoetestadodeumclientedoWindows7Enterprise,testandodigitando"Meu IP" no Google (que gentilmente mostra qual IP eles estão vendo).

Além disso, eu vi mencionar durante o meu Googling que para usar regras "SNAT" (Source NAT), você precisa de um "DNAT" (Destination NAT) regra que corresponde, para que o tráfego possa retornar. Se houver mais alguma coisa que precise acontecer para que o tráfego seja retornado à máquina / VM correta, o Zentyal fará isso por você (acho que, como está funcionando agora, como seria de esperar, sem qualquer configuração adicional).

Se eu puder ser mais específico, ou se alguma coisa aqui estiver completamente errada, por favor me avise.

UPDATE: Se você ainda está tendo problemas com isso, certifique-se de clicar no botão Salvar no canto superior direito do Zentyal Admin Portal depois de fazer praticamente qualquer alteração em Zentyal, pois Zentyal não escreve a configuração. arquivos (ou reinicie o serviço para que ele use a nova configuração) quando você "salvar" a configuração na página atual. Presumivelmente, isso permite que você faça um monte de mudanças de uma só vez que possam entrar em conflito e, em seguida, "comprometê-las" de uma só vez. Honestamente, isso pode ser frustrante ao depurar, já que é fácil esquecer de fazer isso e você fica esmagando o rosto em um teclado imaginando por que "não funciona".