Inside-to-inside NAT alias NAT loopback memecahkan masalah NAT hairpin ketika mengakses server web pada antarmuka eksternal ASA atau perangkat serupa dari komputer pada antarmuka internal. Ini mencegah admin DNS dari keharusan mempertahankan duplikat zona DNS internal yang memiliki alamat RFC1918 yang sesuai untuk server mereka yang NATted ke alamat publik. Saya bukan seorang insinyur jaringan, jadi saya mungkin kehilangan sesuatu, tapi ini sepertinya tidak ada otak untuk mengkonfigurasi dan mengimplementasikan. Routing asimetris dapat menjadi masalah tetapi mudah dikurangi.
Dalam pengalaman saya, admin jaringan / insinyur lebih suka orang-orang sistem hanya menjalankan split-dns daripada mengkonfigurasi firewall mereka untuk menangani jepit rambut NAT dengan benar. Kenapa ini?
sumber
ad.example.com
atau serupa (seperti seharusnya !), Maka masalah ini akan ada untuk semuaexample.com
entri DNS publik dan tidak ada internal yang diterbitkan secara eksternal. Tentu saja, jika Anda telah menamai AD Anda sama dengan keberadaan publik Anda, Anda harus menggunakan split-DNS, tapi itu bukan desain AD praktik terbaik.Jawaban:
Ada beberapa alasan mengapa saya tidak melakukannya:
sumber
Jelas, tidak ada jawaban pasti untuk ini, tetapi saya bisa memikirkan sejumlah alasan:
sumber
Penafian - ini adalah jawaban flamebait.
Alasan umum saya pikir solusi seperti ini dihindari adalah ketakutan / kebencian irasional terhadap NAT pada bagian dari insinyur jaringan . Jika Anda ingin melihat beberapa contoh diskusi tentang ini, lihat ini:
Dari apa yang bisa saya katakan, banyak ketakutan ini bermula dari implementasi NAT yang buruk dari Cisco (jadi dalam arti itu mungkin tidak masuk akal), tetapi menurut saya insinyur jaringan "klasik" begitu terlatih dalam "NAT adalah pandangan dunia yang buruk, bahwa dia tidak bisa melihat contoh nyata seperti ini di mana itu masuk akal dan sebenarnya menyederhanakan solusinya.
Di sana Anda pergi - downvote ke isi hati Anda! :-)
sumber
Dugaan saya adalah:
Di sisi positifnya untuk hairpin NAT,
Untuk jaringan kecil dengan persyaratan lalu lintas rendah ke server internal saya akan pergi dengan hairpin NAT. Untuk jaringan yang lebih besar dengan banyak koneksi ke server dan di mana bandwidth dan latensi penting, gunakan split-dns.
sumber
Dari sudut pandang saya, ini sedikit berubah antara transisi Cisco Pix ke ASA. Kehilangan
alias
perintah. Dan secara umum, mengakses alamat luar dari antarmuka bagian dalam pada firewall Cisco memerlukan semacam tipu daya. Lihat: Bagaimana cara saya mencapai server internal pada IP eksternal?Kami tidak selalu perlu mempertahankan zona DNS internal duplikat. Cisco ASA dapat mengarahkan permintaan DNS untuk alamat eksternal ke alamat internal jika dikonfigurasi pada pernyataan NAT. Tapi saya lebih suka menyimpan zona internal untuk zona DNS publik agar memiliki rincian dan untuk dapat mengelola ini di satu tempat daripada melangkah ke firewall.
Biasanya, hanya ada beberapa server yang mungkin memerlukan ini dalam suatu lingkungan (mail, web, beberapa layanan publik), jadi itu bukan masalah besar.
sumber
Typically, there are only a few servers that may require this within an environment
mungkin di beberapa tempat, tapi saya bekerja di universitas dengan 100+ server / perangkat di DMZ dan saya juga bekerja di penyedia pengujian / sertifikasi dengan 40+ server yang tersebar di tiga DMZ. Untuk perusahaan yang lebih kecil, Anda mungkin hanya memiliki satu atau dua server yang terekspos ke luar, tetapi ini tidak selalu berlaku untuk semua orang.Saya dapat memikirkan beberapa alasan:
sumber
Jika saya akan menggunakan loopback NAT saya akan sedikit khawatir tentang bagaimana perangkat NAT akan menangani alamat sumber palsu. Jika tidak memeriksa antarmuka mana paket masuk, maka saya bisa menipu alamat internal dari WAN dan mengirim paket ke server dengan alamat internal. Saya tidak bisa mendapatkan balasan, tetapi saya mungkin bisa kompromi server menggunakan alamat internal.
Saya akan mengatur loopback NAT, tancapkan ke saklar DMZ dan mengirim paket dengan alamat sumber internal palsu. Periksa log server untuk melihat apakah mereka diterima. Kemudian saya akan pergi ke kedai kopi dan melihat apakah ISP saya memblokir alamat palsu. Jika saya menemukan router NAT saya tidak memeriksa antarmuka sumber, saya mungkin tidak akan menggunakan loopback NAT bahkan jika ISP saya memeriksa.
sumber