Perché più organizzazioni non configurano NAT U-turns / hairpins?

Ho fatto una domanda simile un po 'di tempo fa, ma ho riferito scioccamente all'interno del NAT. Non essendo un amministratore di networking, la mia terminologia sul lato della networking è limitata e port a risposte che rispondono alla mia domanda, ma non allo spirito della mia domanda.

Immagina una situazione comune per la maggior parte delle piccole e medie imprese che ospitano i propri server:

  • Quagga bgpd e routes statici
  • È ansible avere più livelli di sottodominio con DNS e Nginx?
  • Winpcap è in grado di catturare tutti i pacchetti che passano attraverso una NIC Gigabit senza perdere alcun pacchetto?
  • Gestione di più server DNS privati
  • calamaro specificare l'interface di networking in output
  • Potete cercare un dominio passato nameserver & mx storia di record?
    1. Avete un unico firewall con più interfacce. Sono LAN, WAN e DMZ.

    2. I server web / mail dispongono di indirizzi RFC1918 che sono 1: 1 NAT dall'interface DMZ agli IP pubblici.

    3. I dispositivi sull'interface LAN comunica regolarmente con i dispositivi dell'interface DMZ.

    4. Hai un dominio di Active Directory denominato corp.example.com tuoi server web si trovano nella zona esterna example.com .

    In molte implementazioni, è comune vedere i server DNS interni (controller di dominio AD) che ospitano una copia interna della zona example.com con gli indirizzi RFC1918. Perché più organizzazioni non configurano NAT U-turns / hairpins in modo che non abbiate bisogno di una seconda copia di questa zona con informazioni diverse? Perché le organizzazioni non hanno semplicemente DNS interno per corp.example.com e DNS esterno per example.com e lo chiamano un giorno?


    Sì, in grandi aziende si avrebbe idealmente firewall separati DMZ e anche connessioni Internet separate DMZ. Questo non è il caso di qualsiasi SMB che conosco.

    Sì, l'ASA ha una certa licenza in questo caso. Non mi interessa la concessione di licenze, è solo soldi. So che possono essere configurati per consentire questo con lo same-security-traffic .

    Ho lavorato in un negozio di ginepro per anni where questo funzionava bene senza configurazioni pazzesche, come mai gli amministratori di Cisco sembrano avere tanti problemi con questo? È davvero più facile da realizzare sul kit Juniper? È una limitazione di IOS che rende gli amministratori di networking di Cisco non interessati alla configuration?

  • Bonjour / mDNS Trasmesso su sottoreti
  • Problemi di risoluzione di Sendmail e nslookup
  • Colbind i nomi di dominio ai numbers di port
  • Strategia di hosting DNS ad alta disponibilità?
  • Come gestire più server DNS in modo efficiente?
  • Può un sottodominio di Internet Un punto di logging per IP interno ed è anche una buona pratica farlo?
  • 2 Solutions collect form web for “Perché più organizzazioni non configurano NAT U-turns / hairpins?”

    La networking di tutti non utilizza dispositivi che possono NAT a velocità LAN. Non è insolito avere dispositivi che possano percorrere 100Mb / s ma NAT un decimo di quello mentre la tua LAN è tutto gigabit.

    Spesso si dispone di server nel DMZ che è necessario l'accesso ad alta velocità a livello locale. Vuoi eseguire il backup della posta e dei server web, giusto? E vuoi che i tuoi backup nella DMZ?

    NAT interrompe anche le connessioni a lungo termine, inattive perché il tempo di traduzione è fuori tempo. Il canvasio oscura l'indirizzo IP di origine, rendendo inutilizzabili i routes di controllo. NAT, diverso da 1 a 1, è un hack doloroso e vuoi che il traffico interno sia affidabile.

    La resistenza all'attacco è un'altra questione. L'inondazione di connessione può causare che il dispositivo NAT esaurisca da slot e che ci siano aziende che riavvolgono regolarmente le loro apparecchiature a Internet e preferiscono non disturbare connessioni interne di lunga vita. Anche se la vostra apparecchiatura è completamente affidabile, separare la networking interna dai dispositivi che gestiscono lo spazio IP pubblico è solo una buona idea.

    Questo è il modo in cui sono stato insegnato, quindi non ho una risposta migliore … ma per me, elimina la dipendenza dal dispositivo firewall. Nelle piccole imprese, i firewall sono tipicamente prodotti a basso costo (pensare Linksys / Dlink / Sonicwall). Basandosi su di esso per accedere alle risorse interne dall'interno della networking può creare problemi. È una ctriggers dipendenza.

    Ora ho un client che riavvia il proprio firewall Cisco ASA 5510 più volte al giorno per risolvere un problema VoIP per gli utenti remoti (probabilmente un problema xlate). Per i loro utenti interni che utilizzano Exchange e i soliti servizi pubblici / privati, con il reindirizzamento interno di DNS, limita alless l'impatto del riavvio del firewall.

    Edit:

    Ma avevo bisogno di un pizzico di recente …

    immettere qui la descrizione dell'immagine

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.