Vyatta e DNS Rewrite (também conhecido como hairpin ou doctoring)

1

Estou tentando tornar meu IP público acessível também de dentro da LAN.

Sei que é melhor derramar DNS para ter uma zona interna que resolva hosts com IP interno, mas, por vários motivos, isso não se aplica ao meu ambiente.

Eu tenho uma configuração "simples", um servidor e algumas portas NAT:

set nat destination rule 4002 description 'NAT inbound'
set nat destination rule 4002 destination address 'x.y.z.k'
set nat destination rule 4002 destination port '80,443,10050,10051,11051'
set nat destination rule 4002 inbound-interface 'bond1'
set nat destination rule 4002 protocol 'tcp'
set nat destination rule 4002 translation address '10.0.0.190'

set nat source rule 4002 description 'NAT outbound'
set nat source rule 4002 outbound-interface 'bond1'
set nat source rule 4002 source address '10.0.0.190'
set nat source rule 4002 translation address 'x.y.z.k'

Quando tento acessar o IP público da rede interna, não consigo alcançá-lo. É um problema semelhante a Como implementar o loopback / reflexão Nat?

Encontrei uma solução aqui: link

Por isso, tentei adicionar isso à configuração:

set nat source rule 1000 description 'NAT hairpin'
set nat source rule 1000 destination address '10.0.0.128/24'
set nat source rule 1000 outbound-interface 'bond0'
set nat source rule 1000 source address '10.0.0.128/24'
set nat source rule 1000 translation address 'masquerade'

Mas ainda não funciona.

Alguma sugestão sobre como alterar minha configuração para usar o grampo do DNS?

Eu não sou especialista em Vyatta, eu vim do mundo da Cisco ASA, onde foi fácil ... basta adicionar "dns" na regra NAT;)

Obrigado Fabio

    
por Fabio 03.08.2015 / 17:01

1 resposta

0

Você pode ver um exemplo aqui (resposta do SteveP):

link

(VyOs é uma bifurcação de fonte aberta do Vyatta e isso deve ser aplicável)

Observe que o hairpin é feito por meio de uma regra de destino nat e não por uma fonte nat.

O destino NAT altera o endereço IP de destino (que é o que você precisa neste caso) e é executado antes da decisão de roteamento enquanto a fonte NAT reescreve o endereço IP de origem é processada após a decisão de roteamento.

Também na sua configuração "10.0.0.128/24" é curioso. Você deve usar 10.0.0.0/24 para a rede ou 10.0.0.128 para o host.

    
por 03.08.2015 / 22:50