Gewusst wie: Konfigurieren von u-turn NAT

Wenn Sie mehr wissen über u-turn NAT oder Hairpinning und wie man es mit Palo Alto Networks Firewall konfigurieren möchten, sollten Sie sich dieses Video anschaut.

Hallo!

Das ist Tom Piens mit Palo Alto Networks Community-Team. In dieser Woche video-Tutorial werde ich erklären, u-turn-NAT und zum Konfigurieren und testen Sie es. 

• Was ist u-turn NAT?
• Wann ist u-turn NAT sinnvoll?
• Konfigurieren und Testen von u-turn NAT

Was ist u-turn NAT?

Der Begriff, den u-turn verwendet wird, wenn der logische Pfad einer Verbindung die Firewall von innen durchquert, vor und zurück in durch den Anschluss an eine interne Ressource mit seiner externen IP-Adresse. U-turn NAT ist eine Konfiguration-Trick, um Platz für eine Bereitstellung, wo die externe IP-Adresse muss eine interne Ressource zu erreichen.

Wann ist u-turn NAT sinnvoll?

In einigen Umgebungen erfordern ein interner Host eine externe IP-Adresse ein bestimmten Dienstes zu laufen, zum Beispiel, ein lokal gehosteten Web-Server oder Mail-Server. Internen Hosts müssen die externe IP-Adresse aufgrund des Fehlens von einem internen DNS-Server oder andere Anforderungen an den Dienst zu verwenden.

Im Beispiel mit regelmäßigen Destination NAT-Konfiguration richten sich alle Verbindungen mit Ursprung aus dem Laptop an den Server auf seine externe IP-Adresse, 198.51.100.230, geleitet an das Standard-Gateway, wie die IP-Adresse nicht im lokalen Subnetz ist. Es wird dann in IP-Zieladresse 192.168.0.97, ohne Anwendung von Quell-NAT, wodurch den Webserver, Rückkehr Pakete direkt an die Workstation zu senden, wodurch eine asymmetrische Fluss übersetzt.

Hinweis: asymmetrische Ströme werden von der Firewall aufgrund ihres Potenzials, bösartig zu sein, verworfen.

Mit u-turn NAT konfiguriert haben ausgehende Pakete aus dem Laptop auch Quelle, die NAT auf sie angewendet.

Die Quell-NAT veranlasst den Server Antwortpakete direkt an der Firewall, anstatt an den Laptop senden senden. Senden von Paketen direkt an der Firewall verhindert Asymmetrie und ermöglicht die Firewall noch anzuwendende Inhaltsüberwachung zur Sitzung.

Konfigurieren von u-turn NAT

Wir nehmen zuerst einen Blick auf die aktuelle Konfiguration widerspiegelt sieht eine gemeinsame Setup ohne u-turn NAT.

Die Sicherheitsrichtlinie hat eine eingehende Regel, die eingehende Verbindungen aus dem Internet auf den internen Webserver mit Anwendung Web-browsing, ermöglicht die Standard-Port 80 ist. Darüber hinaus haben wir eine einfache ausgehende Sicherheitspolitik, die jeder Benutzer auf jede Anwendung ins Internet gehen kann. Zu guter Letzt haben wir die beiden implizite Regeln, mit denen Intrazone Verkehr, zum Beispiel, Vertrauen, Vertrauen, und der verweigert Intranetzone, die verhindert, dass Sitzungen andere Zonen zu erreichen, ohne eine explizite Politik, die es erlauben.

Die NAT-Richtlinie hat eine eingehende Regel, die es ermöglicht, Verbindungen von überall zur externen IP-Adresse in die interne IP-Adresse des Servers und eine Hide-NAT-Regel zu übersetzen, damit interne Verbindungen ins Internet gehen können und Quelle-übersetzt hinter die externe Interface-IP-Adresse der Firewall.

Wenn wir dem Client-PC, schauen wenn ich einen Browser öffnen und versuchen, 198.51.100.230, ist die Internetanbindung IP-Adresse des internen Servers zugreifen, sehen Sie, dass die Seite nicht geladen wird. Wenn ich Wireshark öffnen, sehen Sie ein Syn-Paket an die externe IP-Adresse gesendet wird von der internen IP-Adresse 192.168.0.97 ein Syn/Ack empfangen werden, und ein Reset ist gesendet werden, da der Kunde nicht versteht, was vor sich geht.

Wenn wir jetzt wieder die firewall und die NAT-Politik öffnen, sehen wir, dass die eingehende NAT-Regel für jede Quelle Zone zu akzeptieren und zu übersetzen, um die richtigen internen Server IP-Adresse eingerichtet wurde.

Erstellen eine neue NAT-Regel-Details:

Name — Interner Zugang

Source Zone—Trust

Zielzone – Vertraulichkeit

Zieladresse – 198.51.100.230

Unter der Registerkarte "übersetzt-Paket":

Zieladresse: 192.168.0.97 (IP-Adresse des Web-Servers)

Source-NAT-dynamische IP-Adresse / Port

Adresse ändern-Schnittstelle

Schnittstelle – ethernet1/2 (interne Schnittstelle der Firewall)

IP-Adresse —192.168.0.230/24

Wenn wir eine neue Regel hinzufügen, nennen wir Sie internen Zugriff, gehen Sie zum Original-Paket-Tab und setzen Sie die Quell Zone auf Vertrauen, Zielzone, um zu trauen, und setzen Sie die Zieladresse auf 198.51.100.230. Fahren Sie mit der Registerkarte "Übersetzung-Paket" und geben Sie das Ziel, wie bei der normalen Regel, 192.168.0.97, dann auch Quelle Adressübersetzung aktivieren indem es auf dynamische IP-Adresse und Port, wechseln Sie Adresstyp zur Adresse der Schnittstelle.

Sie können den Adress-Typ auf über setzte Adresse einstellen und eine Adresse im IP-Bereich wählen, die der Schnittstelle zugeordnet ist, in diesem Beispiel werden wir uns an die IP-Adresse halten, die der Schnittstelle zugeordnet ist, um die Bedienung zu erleichtern.

Wählen Sie die Vertrauen-Zone-Schnittstelle aus der Dropdown-Liste und legen Sie seine IP, dann klicken Sie auf "OK". 

Hinweis: Vergewissern Sie sich, dass Sie die neue NAT-Regel über die Inbound-Regel legen, oder die ursprüngliche NAT-Regel wird dem neu erstellten vorausgehen. 

Die Konfiguration zu begehen und zurück an den Client PC.

Überprüfen und Testen von u-turn NAT

Wenn wir die Webseite öffnen jetzt die Internet Information Server 7-Standardseite geladen und der Webserver ist zugänglich von innen auf die externe IP-Adresse.

Nehmen wir einen Blick auf die Paketerfassung Wireshark, empfängt der Client seine Rückkehr Pakete von der externen IP, weil die Firewall kann jetzt Perfom NAT auf beiden Durchflussrichtungen der.

Danke fürs Zuschauen!