Cómo configurar Turn NAT

Si desea saber más sobre NAT u-turn, o hairpinning y cómo configurar un firewall de Palo Alto Networks, entonces usted querrá echar un vistazo a este video.

¡Hola!

Se trata de Tom Piens con equipo de la comunidad de Palo Alto Networks. En video tutorial de esta semana, voy a explicar NAT u-turn y cómo configurar y probar. 

• ¿Qué es NAT u-turn?
• ¿Cuando es cambio de sentido útil de NAT?
• Configuración y pruebas de giro NAT

¿Qué es NAT u-turn?

El término que giro en u se utiliza cuando el camino lógico de una conexión atraviesa el cortafuegos de dentro a fuera y hacia atrás en, conectando a un recurso interno usando su IP externa. NAT u-Turn es un truco de configuración para un despliegue donde la IP externa necesita acceder a un recurso interno.

¿Cuando es cambio de sentido útil de NAT?

En algunos entornos, un host interno puede requerir una dirección IP externa para ejecutar un determinado servicio, por ejemplo, un servidor web local host o servidor de correo. Hosts internos necesitará usar la dirección IP externa debido a la ausencia de un servidor DNS interno o de otros requisitos específicos para el servicio.

En el ejemplo, usando la configuración de NAT de destino regular, las conexiones procedentes de la computadora portátil dirigida al servidor en su dirección IP externa, 198.51.100.230, se dirigen a la puerta de enlace predeterminada, como la dirección IP no está en la subred local. Entonces se traduce a la dirección IP de destino 192.168.0.97, sin aplicar fuente NAT, lo que provoca que el servidor web enviar paquetes de retorno directamente a la estación de trabajo, dando por resultado un flujo asimétrico.

Nota: los flujos asimétricos son desechados por el Firewall debido a su potencial para ser maliciosos.

Con giro de 180 grados NAT configurado, paquetes salientes de la computadora portátil también tienen origen que NAT aplicada a ellos.

La fuente NAT hace que el servidor envíe paquetes de respuesta directamente en el servidor de seguridad en lugar de enviar el portátil. Enviar paquetes directamente en el servidor de seguridad impide la asimetría y permite el firewall para aplicar el análisis de contenido a la sesión.

Configuración de giro NAT

En primer lugar a echar un vistazo en la configuración actual, que refleja lo que parece una configuración común sin cambio de sentido nacional.

La política de seguridad tiene una regla de entrante que permita las conexiones entrantes desde Internet en el servidor web interno con aplicación-navegación por la web, que es el puerto predeterminado 80. Además, tenemos una política de seguridad saliente que permite a los usuarios ir a Internet en cualquier aplicación. Por último, tenemos las dos reglas implícitas que permiten tráfico de intrazone, por ejemplo, confianza a la confianza, y la zona de intranet negó que evita sesiones lleguen a otras zonas sin una política explícita de lo que.

La Directiva NAT tiene una regla entrante para permitir que las conexiones desde cualquier lugar a la dirección IP externa se traduzcan a la dirección IP interna del servidor y a una regla Hide-NAT para permitir que las conexiones internas salgan a Internet y se traduzcan en origen la dirección IP de la interfaz externa del cortafuegos.

Cuando nos fijamos en el cliente PC, si me abra un navegador e intento acceder a 198.51.100.230, que es la dirección IP de conexión a Internet de mi servidor interno, verás que la página no se carga. Si traigo a Wireshark, verás que se envía un paquete syn a la IP externa, un syn/ack está siendo recibido de la dirección IP interna 192.168.0.97 y se envía un reset como el cliente no entiende lo que está sucediendo.

Si ahora volvemos el firewall y abrir la política NAT, vemos que se ha establecido la regla NAT entrante para aceptar cualquier zona de la fuente y que se traducen en la dirección IP del servidor interno apropiado.

Crear una nueva regla NAT detalles:

Nombre — acceso interno

Zona deorigen: confianza

Zona destino: untrust

Dirección destino: 198.51.100.230

En la pestaña de paquetes traducidos:

Dirección destino: 192.168.0.97 (dirección IP del servidor web en cuestión)

Traducción de direcciones de la fuente-IP dinámica / puerto

Cambiar el tipo de dirección: interfaz

Interfaz: ethernet1/2 (interfaz interna del servidor de seguridad)

Dirección IP —192.168.0.230/24

Si agregamos una nueva regla, nombramos acceso interno, vamos a la ficha paquete original y establecemos la zona de origen en confianza, la zona de destino a Untrust y establecemos la dirección de destino en 198.51.100.230. Entonces pasemos a la pestaña de paquetes de traducción y el destino, como con la regla regular, 192.168.0.97, entonces también habilitar traducción de direcciones de origen estableciendo a dynamic IP y puerto, cambiar el tipo de dirección a dirección de interfaz.

Puede establecer el tipo de dirección en la Dirección traducida y elegir una dirección en el rango IP asignado a la interfaz, en este ejemplo nos adheriremos a la dirección IP asignada a la interfaz, para facilitar su uso.

Seleccionar la interfaz de la zona de confianza de la lista desplegable y establecer su dirección IP, haga clic en Aceptar. 

Nota: Asegúrese de colocar la nueva regla NAT sobre la regla entrante, o la regla NAT original tomará precedece sobre la recién creada. 

Confirme la configuración y volver a la PC del cliente.

Verificación y pruebas de giro NAT

Si abrimos la página ahora, carga la página de internet información server 7 por defecto y el servidor web es accesible desde el interior en su dirección IP externa.

Si echamos un vistazo a la captura de paquetes de Wireshark, el cliente recibe sus paquetes de regreso de la IP externa, debido a que el firewall puede ahora realizar NAT en ambas direcciones del flujo.

¡Gracias por ver!