主页 / server / 问题 / 508605
Accepted
MDMarra
Asked: 2013-05-18 04:14:12 +0800 CST

为什么没有更多的组织使用内部到内部 NAT 或类似的解决方案来允许 NAT 发夹?

  • 772

从内部接口上的计算机访问 ASA 或类似设备外部接口上的 Web 服务器时,内部到内部 NAT 又名 NAT 环回解决了发夹 NAT 问题。这可以防止 DNS 管理员必须维护一个重复的内部 DNS 区域,该区域具有与其服务器对应的 RFC1918 地址,这些地址被 NAT 转换为公共地址。我不是网络工程师,所以我可能会遗漏一些东西,但这似乎很容易配置和实施。非对称路由可能是一个问题,但很容易缓解。

根据我的经验,网络管理员/工程师更喜欢系统人员只运行 split-dns 而不是配置他们的防火墙来正确处理 NAT 发夹。为什么是这样?

networking

7 个回答

  1. 显然,对此不能有明确的答案,但我可以想到以下几个原因:

    1. 优雅:NAT 开始时并不是很优雅,但对于 IPv4 的受限地址空间来说是必需的。如果我能避免 NAT,我会的。有了 IPv6,这个问题无论如何都会消失。
    2. 复杂性:尤其是在您不是只有一个“核心”路由器来创建所有安全边界的情况下,过滤器配置可能会变得非常棘手。否则,您将不得不在几乎所有路由器设备上传播和维护 NAT 规则。
    3. 参考:如果防火墙管理员与服务器管理员团队的其他人不同,他们可能很难联系到。为了确保更改不会因防火墙管理员的积压(或休假)而延迟,选择了将责任留在同一团队的选项
    4. 可移植性和常见做法:使用 DNS 视图是解决此问题的“众所周知的做法”。并非每个边界路由器都会以直接的方式支持环回 NAT,很少有人知道如何在您的特定环境中正确设置它。在对网络问题进行故障排除时,工作人员需要了解发夹 NAT 配置及其所有影响 - 即使他们正在追逐一个明显无关的问题
    • 12
  2. Best Answer

    我不这样做的原因有几个:

    • 如果不需要,为什么要对 DMZ 路由器和防火墙施加额外的压力?我们的大部分内部服务不在 DMZ 中,而是在一般的公司区域中,在 DMZ 中有代理服务,用于偶尔的远程访问。执行从内到内的 nat 会增加 DMZ 的负载,这在我们的例子中会很重要。
    • 如果你不做 DNAT + SNAT,你会得到不对称的路由,这是出了名的难以正确处理。所以你 SNAT 并丢失了源 IP 信息。但是,将源 IP 链接到人以进行故障排除非常有用。或偶尔在愚蠢的情况下进行 nerfshooting 目的。“嘿,这个 IP 在未经身份验证的服务 X 上做了一些奇怪的事情”“哦,让我们在 imap 服务器日志中看看它是谁”。
    • 11

  3. 免责声明 - 这是一个诱饵答案。

    我认为避免此类解决方案的一个常见原因是网络工程师对 NAT 的非理性恐惧/仇恨。如果您想查看一些关于此的讨论示例,请查看以下内容:

    据我所知,很多这种恐惧源于思科对 NAT 的糟糕实施(因此从这个意义上说,它可能不是不合理的),但在我看来,“经典”网络工程师在“NAT 是坏”的世界观,他或她看不到像这样的明显例子,在这些例子中,它非常有意义并且实际上简化了解决方案。

    你去吧 - 投下你心满意足的票!:-)

    • 7

  4. 我的猜测是:

    1. 拆分 DNS 更容易理解。
    2. NAT Hairpin 会耗尽路由器上的资源,而 split-dns 不会。
    3. 路由器可能有带宽限制,您无法通过 split-dns 设置获得这些限制。
    4. 当您避免路由/NAT 步骤时,Split-dns 的性能总是会更好。

    从发夹 NAT 的优点来看,

    • 一旦设置就可以了。
    • 在工作网络和公共互联网之间移动的笔记本电脑的 DNS 缓存没有问题。
    • 服务器的 DNS 仅在一个地方管理。

    对于对内部服务器流量要求较低的小型网络,我会使用发夹 NAT。对于与服务器有许多连接并且带宽和延迟很重要的大型网络,请使用 split-dns。

    • 4

  5. 从我的角度来看,这在 Cisco Pix 到 ASA 的过渡之间发生了一些变化。失去了alias命令。通常,从 Cisco 防火墙的内部接口访问外部地址需要某种技巧。请参阅:如何通过外部 IP 访问我的内部服务器?

    不过,我们并不总是需要维护重复的内部 DNS 区域。如果在 NAT 语句上配置,Cisco ASA 可以将外部地址的 DNS 查询重定向到内部地址。但我更喜欢为公共 DNS 区域保留一个内部区域,以便具有这种粒度并能够在一个地方管理它,而不是进入防火墙。

    通常,在一个环境(邮件、Web、一些公共服务)中只有少数服务器可能需要它,所以这不是一个大问题。

    • 2

  6. 我可以想到几个原因:

    1. 由于不想向全世界发布所有内部 DNS 信息,许多组织已经拆分了 DNS,因此处理同样通过公共 IP 公开的少数服务器并不需要太多额外的工作。
    2. 随着组织及其网络变得越来越大,他们通常将服务于内部人员的系统与服务于外部人员的服务器分开,因此路由到外部系统以供内部使用可能需要更长的网络路径。
    3. 中间设备对数据包所做的修改越少,在延迟、响应时间、设备负载和故障排除方面就越好。
    4. (非常小,无可否认)如果 NATing 设备不超出数据包的标头并使用新的 IP 地址修改其中的数据,NAT 仍然会破坏一些协议。即使这只是一个机构记忆的案例,它仍然是人们避免它的正当理由,尤其是当他们正在处理一个他们不是 100% 确定的协议时。
    • 2

  7. 如果我要使用 NAT 环回,我会有点担心 NAT 设备将如何处理欺骗性源地址。如果它不检查数据包进入哪个接口,那么我可以从 WAN 欺骗内部地址并将数据包发送到具有内部地址的服务器。我无法收到回复,但我可以使用内部地址破坏服务器。

    我会设置 NAT 环回,插入 DMZ 交换机并发送带有欺骗性内部源地址的数据包。检查服务器日志以查看是否已收到它们。然后我会去咖啡店看看我的 ISP 是否阻止了欺骗性地址。如果我发现我的 NAT 路由器没有检查源接口,我可能不会使用 NAT 环回,即使我的 ISP 正在检查。

    • 0

相关问题