IPtables a zařízení za NAT

[snuff1987]

Ano chapeme sa... V tomto konkretnom pripade sa SNAT/MASQUERADE robit nemusi.. Avsak pri zariadeniach so zlozitejsim routingom  a zlozitejsej topologii siete by som ho odporucal robit (ak nevadi, ze stratime informaciu o zdrojovej IP povodneho paketu), pretoze sa lahko moze stat, ze odpoved na presmerovany paket pomocou DNAT sa bude vracat inou cestou a teda bude zahodeny reverse path filteringom. Chce to proste trochu premyslat a mat urcite skusenosti. Ja sietarinu uz dlhsie nerobim, takze sa ospravedlnujem ze moje odpovede boli zbrkle  a nepresne

[Reklama]

[Filip Jirsák]

Avsak pri zariadeniach so zlozitejsim routingom  a zlozitejsej topologii siete by som ho odporucal robit (ak nevadi, ze stratime informaciu o zdrojovej IP povodneho paketu), pretoze sa lahko moze stat, ze odpoved na presmerovany paket pomocou DNAT sa bude vracat inou cestou a teda bude zahodeny reverse path filteringom.

Já bych spíš doporučil do routování složitějších topologií se pouštět teprve tehdy, až bude mít nějaké znalosti o sítích. A pak bude i sám schopen posoudit, zda tam ten SNAT musí být, nebo tam být nemá. Dávat někam preventivně NAT je akorát cesta do pekel, protože to zbytečně komplikuje návrh sítě a také samotný provoz, protože ten NAT se obvykle stane úzkým hrdlem. Někdy opravdu vyjde přidání SNATu k DNATu jako nejlepší řešení, to nepopírám, ale chce to k tomu přistupovat s rozmyslem. Dnes si spousta „síťařů“ nedovede síť bez NATů představit, a zapomínají při tom na to, že NAT je jenom dost ošklivý hack pro řešení nedostatku veřejných IPv4 adres.

[xx]

Ano chapeme sa... V tomto konkretnom pripade sa SNAT/MASQUERADE robit nemusi.. Avsak pri zariadeniach so zlozitejsim routingom  a zlozitejsej topologii siete by som ho odporucal robit (ak nevadi, ze stratime informaciu o zdrojovej IP povodneho paketu), pretoze sa lahko moze stat, ze odpoved na presmerovany paket pomocou DNAT sa bude vracat inou cestou a teda bude zahodeny reverse path filteringom. Chce to proste trochu premyslat a mat urcite skusenosti. Ja sietarinu uz dlhsie nerobim, takze sa ospravedlnujem ze moje odpovede boli zbrkle  a nepresne

To je zas odpoved, snad routing je od toho, aby se nepouzival NAT. Toho kdo pouzije ve vnitrni siti NAT (coz nema nikdy, krome nekterych serveru - i tady bych strilel za to) tak zaslouzi povesit. Co to tam ma co delat? Navic nemyslim si, ze kdyz se nekdo nevyzna v siti, tak bude mit nekde zapnuty RP filtr (myslim, ze to ani defaultne nema zadny router).
Navic tim ze se takto nevhodne pouzije NAT a bude nekde z nejakyho duvodu udelany nesmyetricky routing (zas nekde muze byt umysl, ale neni to zas idealni reseni), tak se s nim nikdo nedomluvi.

[Filip Jirsák]

Navic nemyslim si, ze kdyz se nekdo nevyzna v siti, tak bude mit nekde zapnuty RP filtr (myslim, ze to ani defaultne nema zadny router).

Navíc pokud se někde dělá NAT a paket se bude vracet jinou cestou (třeba přímo), tak nebude problémem ani tak RP filtr, jako hlavně to, že paket má změněné adresy, tudíž nezapadne do existujícího spojení a bude zahozen jako nevalidní. Fungovat to bude maximálně u jednoduchých protokolů jako ICMP nebo některých jednoduchých a nezabezpečených UDP protokolů, kde se neřeší, kdo odpověď poslal.