2016年10月12日 星期三

NAT loopback 已ASA為範例


我們有一台 WEB SERVER 已經設定好外部可以透過 210.242.144.108 80 port 對應到 192.168.4.1 80 port,但是還希望內部網段 192.168.3.0/24 也可以透過 210.242.144.108 連到 192.168.4.1。

 

我們設定從 LAN 的網段 要到 210.242.144.108 轉成  192.168.4.1,反之亦然。



我們用 192.168.3.1 的電腦 telnet 210.242.144.108 80 port,好像沒有成功。
卻看到 192.168.4.1 收到來至 192.168.3.1 的 SYN,而且狀態好像卡在 SYN_RECEIVED。
我們想想如果他真的傳回 192.168.4.1會怎樣,透過 L3 Switch 就直接routing掉了,封包不可能回防火牆,NAT就一定失敗,回去的封包沒機會從192.168.4.1 轉回 210.242.144.108。

192.168.3.1的電腦會感覺我去SYN 210.242.144.108 怎麼會有一台電腦 192.168.4.1 一直回我SYN_ACK 莫名奇妙。

就像我發LINE給A,結果B一直回我有收到LINE。



我們這次把來源IP強迫轉成 210.242.144.108,強迫流量回防火牆。


看起來內部IP可以透過210.242.144.108連到192.168.4.1 達成 NAT loopback。


伺服器端確實也完成三方交握,狀態是 ESTABLISHED。



PS:ASA預設同一個流量不能同時進出同一個介面,所以要把上面這個選項打勾。

1 則留言: