Perché più organizzazioni non configurano NAT U-turns / hairpins?

Ho fatto una domanda simile un po 'di tempo fa, ma ho riferito scioccamente all'interno del NAT. Non essendo un amministratore di networking, la mia terminologia sul lato della networking è limitata e port a risposte che rispondono alla mia domanda, ma non allo spirito della mia domanda.

Immagina una situazione comune per la maggior parte delle piccole e medie imprese che ospitano i propri server:

  • Linux: il neigh show di ip dice "FAILED". Che cosa può essere la causa?
  • pfSense non inoltra DNS al VPS interessato
  • Ospiti pubblici e privati ​​nella stessa zona BIND
  • CNAME a un altro dominio, ma tenere diversi record SPF per i due?
  • Dominio DNS solve .com nel dominio locale
  • Reverse DNS - come configurare correttamente per la distribuzione SMTP
    1. Avete un unico firewall con più interfacce. Sono LAN, WAN e DMZ.

    2. I server web / mail dispongono di indirizzi RFC1918 che sono 1: 1 NAT dall'interface DMZ agli IP pubblici.

    3. I dispositivi sull'interface LAN comunica regolarmente con i dispositivi dell'interface DMZ.

    4. Hai un dominio di Active Directory denominato corp.example.com tuoi server web si trovano nella zona esterna example.com .

    In molte implementazioni, è comune vedere i server DNS interni (controller di dominio AD) che ospitano una copia interna della zona example.com con gli indirizzi RFC1918. Perché più organizzazioni non configurano NAT U-turns / hairpins in modo che non abbiate bisogno di una seconda copia di questa zona con informazioni diverse? Perché le organizzazioni non hanno semplicemente DNS interno per corp.example.com e DNS esterno per example.com e lo chiamano un giorno?


    Sì, in grandi aziende si avrebbe idealmente firewall separati DMZ e anche connessioni Internet separate DMZ. Questo non è il caso di qualsiasi SMB che conosco.

    Sì, l'ASA ha una certa licenza in questo caso. Non mi interessa la concessione di licenze, è solo soldi. So che possono essere configurati per consentire questo con lo same-security-traffic .

    Ho lavorato in un negozio di ginepro per anni where questo funzionava bene senza configurazioni pazzesche, come mai gli amministratori di Cisco sembrano avere tanti problemi con questo? È davvero più facile da realizzare sul kit Juniper? È una limitazione di IOS che rende gli amministratori di networking di Cisco non interessati alla configuration?

  • Come mascherare un URL di sito web che si reindirizza in modo trasparente in Windows Server DNS
  • Domanda di DNS per il routing interno della connessione Internet da una posizione remota
  • Assegnazione di più indirizzi IPv6 su un server
  • Cosa significa questo: v = spf1 include: _spf.google.com ~ tutto?
  • CNAME e un record hanno TTL diversi. Quale sarà memorizzato nella cache?
  • Dovrebbe il mio record MX indicare il mio FQDN?
  • 2 Solutions collect form web for “Perché più organizzazioni non configurano NAT U-turns / hairpins?”

    La networking di tutti non utilizza dispositivi che possono NAT a velocità LAN. Non è insolito avere dispositivi che possano percorrere 100Mb / s ma NAT un decimo di quello mentre la tua LAN è tutto gigabit.

    Spesso si dispone di server nel DMZ che è necessario l'accesso ad alta velocità a livello locale. Vuoi eseguire il backup della posta e dei server web, giusto? E vuoi che i tuoi backup nella DMZ?

    NAT interrompe anche le connessioni a lungo termine, inattive perché il tempo di traduzione è fuori tempo. Il canvasio oscura l'indirizzo IP di origine, rendendo inutilizzabili i routes di controllo. NAT, diverso da 1 a 1, è un hack doloroso e vuoi che il traffico interno sia affidabile.

    La resistenza all'attacco è un'altra questione. L'inondazione di connessione può causare che il dispositivo NAT esaurisca da slot e che ci siano aziende che riavvolgono regolarmente le loro apparecchiature a Internet e preferiscono non disturbare connessioni interne di lunga vita. Anche se la vostra apparecchiatura è completamente affidabile, separare la networking interna dai dispositivi che gestiscono lo spazio IP pubblico è solo una buona idea.

    Questo è il modo in cui sono stato insegnato, quindi non ho una risposta migliore … ma per me, elimina la dipendenza dal dispositivo firewall. Nelle piccole imprese, i firewall sono tipicamente prodotti a basso costo (pensare Linksys / Dlink / Sonicwall). Basandosi su di esso per accedere alle risorse interne dall'interno della networking può creare problemi. È una ctriggers dipendenza.

    Ora ho un client che riavvia il proprio firewall Cisco ASA 5510 più volte al giorno per risolvere un problema VoIP per gli utenti remoti (probabilmente un problema xlate). Per i loro utenti interni che utilizzano Exchange e i soliti servizi pubblici / privati, con il reindirizzamento interno di DNS, limita alless l'impatto del riavvio del firewall.

    Edit:

    Ma avevo bisogno di un pizzico di recente …

    immettere qui la descrizione dell'immagine

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.