Milan Cizek wrote:
potřeboval bych poradit s následujícím. Na IGW (FreeBSD) mám vnější interface, ne kterém mám jako aliasy několik Public IP. Tyto IP následně v natd.conf pomocí redirect_address přesměrovávám na vnitřní IP. Toto přesměrování ale nefunguje, pokud se přistupuje z vnitřní sítě.
To logicky nemuze, protoze ${natd_interface} je vnejsi interface a pres nej tato komunikace vubec neprobiha.
Jak tedy paketům na IGW říci, že mají jít na lokální IP, když neprochází NATem (vlastně ani nemusí)
No to samozrejme musi - chces aby paket odeslany na nejakou IP adresu dorazil na nejakou uplne jinou, coz bez nejake formy prekladu zadnym normalnim zpusobem nedosahnes.
A pokud je navic klientska stanice ve stejne IP siti jako dotceny server, dostanes se do VELMI vaznych problemu protoze "zpetne" pakety nebudou pres router prochazet vubec a i kdybys tam tedy preklad mel, bude to uplne jedno. Potreboval bys dvojity preklad a jestlize je rec o serveru na kterem nemuzes delat pokusy, protoze je dulezity, tak na takovem serveru nic podobneho urcite delat nechces, ani kdybysis to peclive odladil nekde uplne jinde. Ver mi.
1. Prirozenym resenim tohoto problemu je - proste vubec nedopustit aby vzniknul. Jestli mas nejake servery, ktere maji byt verejne dostupne, maji mit verejne adresy.
Zadny preklad pak nepotrebujes, protoze pristupujes primo, z venku i zevnitr. Pokud mas pred vnitrnima serverama preklad jen kvuli jejich "ochrane" tak od toho neni preklad, ale firewall. Stavovy ti zajisti stejnou uroven ochrany jako preklad.
2. Jestlize verejne adresy z jakehokoliv duvodu mit nemuzes, porad jeste neni nic ztraceno. Nic zasadniho ti nebrani na ty servery pristupovat pod jednim jmenem "zvenku" a jinym "zevnitr". Proste zarid na tech serverech takovou konfiguraci, aby bylo jedno, pod jakym jmenem se na ne klient obraci a z vnitrnich stroju na ne pristupuj pod jinym jmenem (takovym, ktere se rovnou resolvi na prislusnou vnitrni adresu).
Zadny preklad pak nepotrebujes, protoze z vnitrnich stanic na server pristupujes primo.
Nenapada me server u ktereho by to takhle neslo, ale pokud takovy preci jen nahodou mas, docela by me zajimalo jaky - a pak se muzeme pobavit o tom konkretnim pripadu.
3. Dalsi moznosti je nakonfigurovat prislusne zaznamy do resolveru, ktery ty vnitrni stanice pouzivaji - ony tak na stejny dotaz dostanou v odpovedi jinou IP, nez jako dostane cely vnejsi svet. Takze mohou na servery pristupovat take primo. Ale tahle konfigurace ma sve vlastni problemy, ktere nemusi byt snadne (a nekdy mozne) vyresit.
1-2-3 je serazeno jak postupne vzrusta narocnost daneho reseni a riziko post-implementacnich komplikaci (a take jak se v dane siti komplikuje diagnostika budoucich problemu).
Asi by se daly nalezt i nejaka dalsi reseni, ktere by v teto rade mohly poracovat.
Dan -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
