Network Question

Navegue suas respostas
1

Eu tenho uma pergunta sobre se algo é 'possível' por padrão ou requer configuração adicional.

Digamos que eu tenha dois sistemas atrás de um firewall e eles estejam no mesmo domínio e sub-rede. O sistema 1 tem o IP 10.1.1.2 e tem o IIS instalado (também conhecido como escutar a porta 80). O outro sistema é apenas um sistema normal que tem tráfego de saída na Internet.

O sistema 2 (O sistema de tráfego de saída) deve ser capaz de acertar o ip externo e redirecioná-lo para o servidor que está executando o IIS sem ter que modificar nenhum arquivo de host ou configuração de NAT?

Aqui está uma topologia do que estou falando:

O sistema do computador em 10.1.1.1 deve ser capaz de acertar (diretamente com o IP ou através de um DNS registrado como my.domain.com) o ip externo (69.1.1.1:80) e tê-lo 'resolvido' / redirecionar para o servidor interno localizado em 10.1.1.2?

    
por BabelFish 01.11.2010 / 17:48

3 respostas

5

Este é um problema bem conhecido. Quando seu cliente interno acessa o endereço IP externo, o dumb-NAT encaminhará esse pacote para o servidor. Parece mais ou menos assim: 

10.1.1.2 -> 69.1.1.1:80

Neste ponto, o dumb-NAT irá reescrever o pacote, então o que o servidor interno vê: 

10.1.1.2 -> 10.1.1.1:80

Então, ele responderá: 

10.1.1.2:80 -> 10.1.1.1

Infelizmente, o 10.1.1.2 estava esperando uma resposta do 69.1.1.1, não do 10.1.1.1, por isso apenas descarta o pacote e a conexão nunca é concluída.

Existem algumas maneiras de lidar com isso, alguns gateways NAT fazem isso de maneira inteligente. A maioria dos roteadores / firewalls domésticos não. Mas o termo para o que está fazendo é Source -NAT, onde o endereço de origem é reescrito em vez do destino.

    
por 01.11.2010 / 18:18
1

Se este for um firewall PURE, então você pode ter problemas, mas, na realidade, a maioria dos firewalls irá atuar em algum grau como um roteador limitado e, portanto, isso deve funcionar. Certamente funciona em todos os firewalls / roteadores que usei. Você sabe o que é o seu FW?

    
por 01.11.2010 / 18:16
0

Aqui está uma explicação muito boa sobre esse problema , dada em um contexto equivalente. A solução é configurar o que a página MikroTik chama de "hairpin NAT". Eu também vi a técnica referida como "NAT reflection", no contexto do pfSense e m0n0wall.

    
por 01.11.2010 / 19:13

Tags

Como instalar o sistema Linux no servidor remoto? Recuperação Automática de Serviços (Linux)