Por que mais organizações não usam NAT de dentro para dentro ou soluções similares para permitir grampos de cabelo NAT?

O NAT de dentro para dentro, também conhecido como loopback do NAT, resolve problemas de NAT em gancho de cabelo ao acessar um servidor da Web na interface externa de um ASA ou dispositivo semelhante a partir de computadores na interface interna. Isso evita que os administradores de DNS mantenham uma zona DNS interna duplicada que possua os endereços RFC1918 correspondentes para seus servidores que tenham NAT para endereços públicos. Como não sou engenheiro de rede, talvez esteja faltando alguma coisa, mas isso parece um acéfalo para configurar e implementar. O roteamento assimétrico pode ser um problema, mas é facilmente mitigado.

Na minha experiência, os administradores / engenheiros de rede preferem que os funcionários do sistema executem split-dns em vez de configurar seus firewalls para lidar adequadamente com grampos de cabelo NAT. Por que é isso?

Existem algumas razões pelas quais eu não faria isso:

• Por que sobrecarregar os roteadores DMZ e o firewall, se você não precisa? Muitos dos nossos serviços internos não estão na DMZ, mas na área corporativa geral, com serviços de proxy na DMZ para acesso remoto ocasional. Fazer nat de dentro para dentro adiciona mais carga à DMZ, o que, no nosso caso, seria significativo.
• Se você não fizer DNAT + SNAT, receberá roteamento assimétrico, o que é notoriamente complicado de acertar. Então você SNAT e perde informações de IP de origem. No entanto, é muito útil vincular IPs de origem a pessoas para fins de solução de problemas. Ou ocasionalmente nerfshooting fins em casos de estupidez. "Ei, esse IP está fazendo algo complicado no serviço não autenticado X" "Oh, vamos ver nos registros do servidor imap quem é".

Obviamente, não pode haver uma resposta definitiva para isso, mas eu poderia pensar em várias razões:

1. Elegância: o NAT não é muito elegante, mas uma necessidade do espaço de endereço restrito do IPv4. Se eu puder evitar o NAT, eu irei. Com o IPv6, o problema está desaparecendo de qualquer forma.
2. Complexidade: especialmente nos casos em que você não possui apenas um roteador "núcleo" criando todos os seus limites de segurança, as configurações de filtro podem se tornar bastante complicadas. Ou você teria que espalhar e manter as regras NAT em quase todos os dispositivos do roteador.
3. Referência: onde quer que os administradores de firewall sejam pessoas diferentes do restante da equipe de administração de servidores, eles podem ser difíceis de alcançar. Para garantir que as alterações não sejam adiadas pelo backlog (ou férias) do administrador do firewall, é escolhida a opção de manter a responsabilidade na mesma equipe
4. Portabilidade e prática comum: o uso de visualizações DNS é "exatamente o que todos sabem que é feito" para resolver esse problema. Nem todo roteador de limite suportaria NAT de loopback de maneira direta, menos pessoas provavelmente saberão como configurá-lo corretamente em seu ambiente específico. Ao solucionar problemas de rede, a equipe precisa estar ciente da configuração NAT hairpin e de todas as suas implicações - mesmo quando está procurando um problema aparentemente não relacionado

Isenção de responsabilidade - esta é uma resposta inflamada.

Um motivo comum para que soluções como essa sejam evitadas é um medo / ódio irracional do NAT por parte dos engenheiros de rede . Se você quiser ver alguns exemplos de discussão sobre isso, confira estes:

• http://packetpushers.net/show-86-connect-to-the-ipv6-internet-for-free-using-tunnelbroker-net/
• http://networkingnerd.net/2012/04/02/ipv6-nat-and-the-sme-a-response/ (o blog de Tom parece continuar atraindo discussões bastante fervorosas sobre NAT / IPv6)
• http://libertysys.com.au/blog/nat-is-evil-but-not-bad (meu blog)

Pelo que posso dizer, muito desse medo decorre das implementações ruins do NAT da Cisco (portanto, nesse sentido, pode não ser irracional), mas, na minha opinião, o engenheiro de rede "clássico" é tão instruído no "NAT é visão de mundo ruim ", de que ele ou ela não pode ver exemplos óbvios como este, onde faz todo o sentido e realmente simplifica a solução.

Lá vai você - voto negativo para o conteúdo do seu coração! :-)

Meu palpite é:

1. O DNS dividido é mais fácil de entender.
2. O Hairpin NAT usa recursos no roteador, enquanto o split-dns não.
3. Os roteadores podem ter limitações de largura de banda que você não obtém através de uma configuração de DNS dividido.
4. O Split-DNS sempre terá um desempenho melhor, pois você evita as etapas de roteamento / NAT.

No lado positivo do NAT hairpin,

• Uma vez configurado, ele simplesmente funciona.
• Não há problemas com os caches DNS para laptops movidos entre a rede de trabalho e a Internet pública.
• O DNS de um servidor é gerenciado apenas em um local.

Para uma pequena rede com pouco tráfego para um servidor interno, eu utilizaria NAT hairpin. Para uma rede maior com muitas conexões com o servidor e onde a largura de banda e a latência são importantes, use DNS dividido.

Na minha perspectiva, isso mudou um pouco entre a transição do Cisco Pix para o ASA. Perdeu o aliascomando. E, em geral, acessar o endereço externo a partir da interface interna em um firewall da Cisco requer algum tipo de truque. Consulte: Como faço para acessar meu servidor interno no IP externo?

Porém, nem sempre precisamos manter uma zona DNS interna duplicada. O Cisco ASA pode redirecionar consultas DNS para endereços externos para endereços internos, se configurado na instrução NAT. Mas eu prefiro manter uma zona interna da zona DNS pública para ter essa granularidade e poder gerenciar isso em um só lugar, em vez de avançar para o firewall.

Normalmente, existem apenas alguns servidores que podem exigir isso em um ambiente (correio, web, alguns serviços públicos), portanto, esse não foi um tremendo problema.

Eu posso pensar em alguns motivos:

1. Muitas organizações já dividiram o DNS por não quererem publicar todas as informações internas do DNS no mundo, portanto, não há muito esforço adicional para lidar com os poucos servidores que também são expostos por meio de um IP público.
2. À medida que uma organização e sua rede crescem, elas geralmente separam os sistemas que atendem às pessoas internas dos servidores que atendem às externas, portanto, o roteamento para os externos para uso interno pode ser um caminho de rede muito mais longo.
3. Quanto menos modificações os dispositivos intermediários fizerem nos pacotes, melhor será a latência, o tempo de resposta, a carga do dispositivo e a solução de problemas.
4. (muito menor, é certo) Existem protocolos que o NAT ainda quebrará se o dispositivo de NATing não ultrapassar os cabeçalhos do pacote e modificar os dados nele com os novos endereços IP. Mesmo que seja apenas um caso de memória institucional, ainda é um motivo válido para as pessoas evitá-lo, especialmente se estiverem lidando com um protocolo sobre o qual não estão 100% certos.

Se eu fosse usar o loopback NAT, ficaria um pouco preocupado com o modo como o dispositivo NAT manipulará endereços de origem falsificados. Se ele não verificar em qual interface o pacote chegou, eu poderia falsificar endereços internos da WAN e enviar pacotes ao servidor com endereços internos. Não consegui obter respostas, mas posso comprometer o servidor usando um endereço interno.

Eu configuraria o loopback NAT, conectaria o switch DMZ e enviaria pacotes com endereços de origem internos falsificados. Verifique o log do servidor para ver se eles foram recebidos. Então eu iria ao café e veria se meu provedor de serviços de Internet está bloqueando endereços falsificados. Se eu descobrisse que meu roteador NAT não estava verificando a interface de origem, provavelmente não usaria o loopback NAT, mesmo que meu ISP estivesse verificando.