בעייה בהפניית NAT

avramk

אני מבצע הפניית NAT ב FW של פורטינט, ואני נקל בבעייה שכל הכתובות שמנסות לגשת מבחוץ למכשיר ברשת מוצגים בלוגים ככתובת של הנתב. מה שקורה שלדוגמא אם יש לי F2BAN על יישום מסויים כדוג' RDP זה חוסם את הכתובת הפנימית של הנתב.
יש למישהו רעיון איך להתגבר על זה ?

שמואל4

@avramk זה קורה בגלל שמופעל NAT ב policy שמאפשר את התנועה.
אתה יכול לבטל את זה, צריך להבין את ההשלכות ומה הסיבה שהפעילו את האפשרות.

avramk

@שמואל4 אני לא יכול לבטל את זה מצד אחד וזה בגלל שאני צריך שהוא ייכנס עם כתובת חיצונית אחרת שהיא לא הכתובת הראשית (יש לי POOL)
השאלה איך אני יכול עדיין לגרום לכרטיס רשת להאזין לכתובות החיצוניות ?!

שמואל4

@avramk אתה לא צריך,
הרעיון בNAT בכלל של חומת אש של FG (בכלל נכנס, יוצא זה משהוא אחר) שאם השרת אין לו ניתוב מתאים כדי להחזיר את התנועה, יהיה חוסר תקשורת.

ולמעיישה: אם הDG של השרת אליו הלקוח מגיע הוא הפורטיגייט, אתה לכאורה יכול לבטל את הNAT ב policy הנכנס, וזה יעבוד כמו שצריך והשרת יראה את הכתובת האמיתית של הלקוח.

מה שכתבת עם פול כתובות, זה לגבי NAT החוצה, איך זה יראה לעולם.

avramk

@שמואל4 אבל מה שקורה זה שאני מתחבר פנימה עם כתובת IP שהיא לא של הinterface הראשי, אז זה אמור לעבוד ?

שמואל4

@avramk כתב בבעייה בהפניית NAT:

@שמואל4 אבל מה שקורה זה שאני מתחבר פנימה עם כתובת IP שהיא לא של הinterface הראשי, אז זה אמור לעבוד ?

כן.
בכלל, כל הרעיון של NAT ב policy הוא ״מתקדם״, הפניית פורטים רגילה בכל ראוטר - לא עושה את זה.
יש מעלות כמו שאמרתי ל NAT ב policy נכנס, אבל שצריך.

דוגמא:

והכלל מוגדר:

avramk

@שמואל4 אני לא מבין מה שאתה אומר אם אין NAT אז איך הוא אמור לדעת לאן להגיע ולאיזה מכשיר ברשת להמשיך ? אני בודק כעת

avramk

@שמואל4 יפה, זה עובד
אז מה בעצם הרעיון בNAT נכנס ?

Shmuel754

@שמואל4
בvirtual IP תשנה את ה0.0.0.0 לכתובת שאתה רוצה שממנו יכנסו, ואז רק הכתובת השה יופנה לSSH וגם אם אתה מפעיל NAT ב POLICY

avramk

@Shmuel754 לא בדיוק.
זה מה שאני עושה, וזה רלוונטי לכתובות אחרות מהכתובת של הWAN. אבל לא חשבתי שזה יעבוד בלי NAT כי בפועל זה מה שזה עושה..

שמואל4

@avramk כתב בבעייה בהפניית NAT:

אז מה בעצם הרעיון בNAT נכנס ?

הסברתי,
אם הDG במכשיר המפונה הוא לא פורטיגייט, או כל סיבה בו הניתוב במכשיר המקבל לא מוגדר בצורה שהוא יגיע חזרה לפורטיגייט, צריך להפעיל את זה.

@Shmuel754 כתב בבעייה בהפניית NAT:

בvirtual IP תשנה את ה0.0.0.0 לכתובת שאתה רוצה שממנו יכנסו, ואז רק הכתובת השה יופנה לSSH וגם אם אתה מפעיל NAT ב POLICY

אני לא הבנתי בדיוק, אני לא מחפש פה פתרון להשאיר NAT ולקבל כתובת חיצונית, ברוב המקרים ברשתות פשוטות אין צורך להפעיל NAT בתנועה נכנסת.

שמואל4

@avramk כתב בבעייה בהפניית NAT:

@שמואל4 אני לא מבין מה שאתה אומר אם אין NAT אז איך הוא אמור לדעת לאן להגיע ולאיזה מכשיר ברשת להמשיך ? אני בודק כעת

פורטיגייט יודע בדיוק לאן הוא צריך להגיע, הוא יודע לאן אתה רוצה להגיע לפי הvirtual server.
הבעיה היא בתנועה החוזרת.

למעשה, המכשיר, ינסה להחזיר את התנועה לכתובת החיצונית.
במידע שהמכשיר לא מתנתב את כל התנועה שלו לפורטיגייט - אלא למקום אחר, אז התנועה חזרה לא תגיע.

ניתן לפתור את זה ב2 דרכים:

• הגדרת ניתוב סטטי ספציפי במכשיר של הכתובת שנכנסת לכיוון פורטיגייט.
• הפעלת NAT בPOLICY, ואז התנועה תגיע למכשיר מהsubnet של פורטיגייט, ומיניה וביה התנועה תחזור לפורטיגייט.

למעשה: אם אתה לא יודע בדיוק שצריך להפעיל NAT בתנועה נכנסת, לכאורה אתה לא צריך להפעיל את זה.

Shmuel754

הכלל בpolicy, מאיפה שהוא נכנס הוא יוצא, לכן אם אתה מגביל כניסה לפורט מסוים ע"י virtual IP ו/או הגדרות נוספות, אז גם הגדרות של POOL או אחרות יחולו על התקשורת היוצאת,
וכל שאר התנועה תמשיך לPolicy הבא והגדרות שלו.