spíš bych ocenil vysvětlení, proč je SNAT špatně. Zda jsou nějaká rizika tohoto řešení apod., když už je to taková "prasárna".
Arogantne commenty si nevsimaj. Problem je hlavne strata transparentnosti, na DST uz nevidis aky bol realny SRC... Ale zalezi od case od caseu, ci je to problem, alebo nie.
Problem je predevsim v tom, ze to nebude fungovat, a to tak ze vubec ne. Ale neni nad to vymejslet cypoviny misto konfigurace zcela funkcni a standardni ze?
Preco by to nefungovalo? Ak nemas nastavene default route, tak funguje len komunikacia do lokalnych subnetov. Ak mas interface eth0 a na nom nejaku a.b.c.x/24 siet, system ti bude generovat arp requesty na pre ipcky z danej siete...
Ak je VPN server povedzme 192.168.1.100/24, tvoje zariadenie bez def. routy je 192.168.1.200/24, tak SNATovana komunikacia z 192.168.1.100/24 BUDE fungovat... Pretoze ak je aj na opacnom konci ina, povedzme 10.10.10.0/24 siet, VPN server bude vsetku komunikaciu z toho subnetu SNATovat na svoju 192.168.1.200.
Co je na tom tak nepochopitelne?
19 Odpovědí
3690 Zhlédnutí