1 votes

mschr avatar

(Zywall USG 300) NAT contourné lors de l'accès au serveur interne Depuis le LAN Via le nom de domaine

Demandé el 3 de Juin, 2012
Quand la question a-t-elle été
7994 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Mon situations Voici comment ça se passe : j'héberge un certain nombre de sites web à partir de notre solution de réseau commune. Sur le réseau, il y a essentiellement 3 catégories :

  1. le public connu, enregistré via mac, donné par bail dhcp statique
  2. les connexions lan anonymes, dont le bail provient d'une plage dhcp spécifique
  3. commutateurs, hôtes unix pare-feu

Considérons maintenant les hôtes suivants qui présentent un intérêt

  1. 111.111.111.111 (Zywall USG 300 WAN)
  2. 192.168.1.1 (ZyWall USG 300 LAN) équilibre les charges et surveille les bw et gère le NAT.
  3. 192.168.1.2 (Linux www) sert mydomain1.tld et mydomain2.tld
  4. 192.168.123.123 (client LAN aléatoire) accède à mydomain1.tld depuis le LAN
  5. 23.234.12.253 (client externe aléatoire) accède à mydomain1.tld via WAN

Les enregistrements A du DNS sont configurés de manière à ce que mydomain1.tld et mydomain2.tld pointent tous deux vers 111.111.111.111 - et le www de Linux sert les parties http avec des configurations VirtualHost, en configurant les racines du document pr ServerName, mais ce n'est pas si intéressant

La règle NAT traduit 111.111.111.111:80 en 192.168.1.2:80 (NAT 1:1) comme tel :

  • Type : Serveur virtuel
  • Interface : WAN
  • IP d'origine : n'importe lequel
  • IP mappé : 192.168.1.2
  • Port d'origine : 80
  • Port mappé : 80

Lorsque le NAT-Loopback est activé, il rend le dispositif inaccessible depuis les interfaces externes (je n'ai pas essayé cependant, si cela fait fonctionner LAN -> WAN IP:80).

Notre site problème suit ;

Lors de l'accès à http://mydomain1.tld depuis l'extérieur (23.234.12.253 hôte d'exemple) du réseau commun - tout va bien, zywall reçoit les demandes via le port 80 et le mappe sur le httpd de l'hôte linux. Cependant, lorsque l'on essaie de traverser le NAT depuis le côté LAN (interne, 192.168.123.123 hôte d'exemple), on est filtré par le pare-feu Zywall sur le port 80.

Je le sais seulement parce que le port 443 est ouvert pour l'interface d'administration et https://mydomain1.tld invite à se connecter à zywall.

Alors Ma conclusion est que le réseau local qui accède à 111.111.111.111 est en fait acheminé vers 192.168.1.1 en contournant la table NAT.

J'ai besoin de savoir comment configurer NAT / Policy Route, de sorte que LAN > WAN > LAN fonctionne avec des traductions de réseau appropriées au lieu de faire le 'quick nameserver lookup' ou quoi que ce soit d'autre.

Demandé el 3 de Juin, 2012 par mschr

Réponses

Trop de publicités?

0voto

mschr avatar
mschr Points 48

La solution a fini par être la maintenance de la table de consultation DNS interne (un peu comme un fichier /etc/hosts) où j'ai mis mondomaineX.tld et l'ai fait correspondre à leurs IP appropriées. J'aurais aimé contourner ce problème, mais il y a un prix à gagner pour une réponse qui permette de faire passer LAN -> WAN IP : PORT par la table NAT.

Répondu el 6 de Juin, 2012 par mschr (48 Points )

0voto

Mr. Smith avatar
Mr. Smith Points 3224

Je me suis donc débattu avec ce problème et j'ai trouvé la solution. Pour que cela fonctionne, utilisez la règle NAT standard (la même règle qui fonctionne pour permettre au monde entier d'accéder au site web), ajustez simplement la règle pour que l'IP d'origine soit l'IP WAN. Ensuite, vous pouvez activer le bouclage NAT et tout fonctionne bien.

Faites-moi savoir si vous avez d'autres questions.

Répondu el 14 de Décembre, 2012 par Mr. Smith (3224 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X