EdgeMAX - horquilla NAT (Nat dentro de interior / Loopback / reflexión)

Resumen


Los lectores aprenderán sobre la horquilla de NAT para EdgeRouter.

Normalmente, se utiliza una regla NAT Port Forwarding desde la fuera de red para llegar a un servidor el dentro de red usando la dirección pública del router (o nombre de host).  Pero en casos donde la misma dirección del servidor local debe ser accesible desde dentro de la red local, se aplica la horquilla NAT.

Horquilla de NAT es también conocido como "NAT interior a-interior," o, "NAT Loopback," o, "Reflexión nacional" y probablemente algunos otros.

Nota : a partir de la versión v1.4.0 ahora es un asistente adelante puerto en la interfaz gráfica que facilita mucho la horquilla NAT (hairping es una casilla de verificación).

Pasos


En este ejemplo empezaremos con el ejemplo de configuración para SOHO , como se ve en la el diagrama de abajo.

Diagrama de SOHO de ejemplo para utilizar en la configuración de NAT horquilla.


Primero vamos a añadir una regla de NAT de destino (es decir, adelante de puerto) para que el puerto 2222 se reenvía a 192.168.1.10 en el puerto TCP 22. Se trata de la solicitud NAT de exterior a interior de WAN paquetes que lleguen en el interfaz público, eth2 (NAT horquilla es más adelante).

Nota : la dirección de destino (parte inferior) no se requiere si el traducido dirección es la misma antes y después de NAT.

A continuación, tenemos que agregar una regla de firewall para WAN_IN para permitir que este flujo. Una de las cosas más confusas con la adición de una regla de cortafuegos de NAT es que DNAT ocurre antes del firewall, por lo que la regla de firewall debe coincidir con el traducido dirección (y puerto). Por ejemplo:

Ahora cuando ponemos a prueba nuestro puerto hacia adelante de la fuera de red, podemos ver el paquete de firewall estadísticas aumentan así como la cuenta NAT.

Nota : estadísticas de Firewall son contadores de bytes/paquete mientras cuenta NAT es de acuerdo al período de sesiones.

Desde el CLI podemos ver también la traducción activa:

ubnt@ubnt:~$ show nat translations
Pre-NAT Post-NAT Type Prot Timeout
204.11.231.181:2222 192.168.1.10:22 dnat tcp 3321 

Ahora queremos añadir reglas NAT horquilla. Básicamente necesitamos:

  1. Una copia de la regla DNAT inicial modificada para la interfaz LAN. Este es el interior a interior NAT solicitar paquetes de LAN que llega a la interfaz local, eth0.
  2. Una nueva regla de Masquerade NAT para la interfaz LAN.

Con estas 2 nuevas reglas NAT, deberíamos ser capaces de utilizar la misma dirección de la pública para volver al servidor interno. En mi ejemplo, mi dirección de la público es 104.15.231.18, por lo que el flujo original parece

192.168.1.11 --> 104.15.231.18 TCP 2222

Entonces la regla DNAT traduce a:

192.168.1.11 --> 192.168.1.10 TCP 22

Entonces la regla SNAT traduce a:

192.168.1.1 --> 192.168.1.10 TCP 22

Puesto que las 2 reglas DNAT son idénticas salvo por la interfaz, podemos eliminar la 2ª regla DNAT y modificar el primero de "eth2" en el comodín de ethernet de "eth + (cuando otros se selecciona interfaz de entrada) como se ve abajo:

 La configuración final de este ejemplo puede descargarse desde: NAT horquilla Config