Назад | Перейти на главную страницу

(Zywall USG 300) NAT обходится при доступе к внутреннему серверу из локальной сети через доменное имя

Мой ситуации это так; я размещаю несколько веб-сайтов в рамках нашего совместного сетевого решения. В сети в основном 3 категории:

  1. известная публика, зарегистрированная через Mac, с учетом статической аренды dhcp
  2. анонимные подключения к локальной сети с учетом аренды из определенного диапазона DHCP
  3. коммутаторы, брандмауэр хостов unix

Теперь рассмотрим следующие хосты, которые представляют интерес

  1. 111.111.111.111 (Zywall USG 300 WAN)
  2. 192.168.1.1 (ZyWall USG 300 LAN) балансирует нагрузку и мониторы bw плюс обрабатывает NAT
  3. 192.168.1.2 (Linux www) обслуживает mydomain1.tld и mydomain2.tld
  4. 192.168.123.123 (случайный клиент локальной сети) обращается к mydomain1.tld из локальной сети
  5. 23.234.12.253 (Случайный внешний клиент) обращается к mydomain1.tld через WAN

Записи DNS A настроены так, что mydomain1.tld и mydomain2.tld указывают на 111.111.111.111 - а www Linux обслуживает http-части с конфигурациями VirtualHost, настраивая корни документов pr ServerName, это не так уж интересно ..

Правило NAT преобразует 111.111.111.111:80 в 192.168.1.2:80 (NAT 1: 1) как таковое:

Пока NAT-Loopback активирован, он делает устройство недоступным для внешних интерфейсов (хотя не пробовал, если он заставляет LAN -> WAN IP: 80 работать)

Наши проблема следует;

При доступе http: //mydomain1.tld извне (хост 23.234.12.253) объединенная сеть - все в порядке, zywall принимает запросы через порт 80 и сопоставляет его с хостом linux httpd. Однако после попытки пройти через NAT со стороны LAN (внутренний хост, 192.168.123.123) затем фильтруется брандмауэр порта 80 Zywall.

Я знаю это только потому, что порт 443 открыт для интерфейса администрирования и https: //mydomain1.tld запрашивает вход в систему zywall.

Так Мой вывод заключается в том, что локальная сеть, которая обращается к 111.111.111.111, фактически маршрутизируется на 192.168.1.1, минуя таблицу NAT.

Мне нужно знать, как настроить NAT / Policy Route, чтобы LAN> WAN> LAN работал с правильными сетевыми переводами вместо выполнения «быстрого поиска по серверу имен» или чего-то еще.

Так что я сам с этим боролся и нашел ответ. Чтобы эта работа работала, используйте стандартное правило NAT (то же правило, которое работает, чтобы разрешить миру доступ к веб-сайту), просто настройте правило так, чтобы исходный IP-адрес был IP-адресом WAN. Затем вы можете включить NAT loopback, и все будет работать нормально.

Сообщите мне, если у вас возникнут вопросы.

Решением стало поддержание внутренней таблицы поиска DNS (очень похоже на файл / etc / hosts), куда я поместил mydomainX.tld и сопоставил его с их подходящими IP-адресами. Хотелось бы обойти это, хотя и есть награда для ответа, который позволяет LAN -> WAN IP: PORT пройти через таблицу NAT