Hairpin NAT avec
Mikrotik
Souvent on héberge
en interne un serveur qui propose un service internet : SMTP, Web, Voix, ...
Bien sur en interne
l'adressage IP est privée et sur internet public.
Pour éviter
d'avoir a manipuler deux adresses différentes en interne et a l'extérieur.
2 solutions :
Le split DNS, une
même zone, 2 serveurs DNS qui ne sont pas synchronisés avec des résolutions différentes
IP différentes
Le Hairpin NAT, c’est
le routeur/firewall qui va résoudre une ip public en ip interne et inversement.
Evidement cette
technique n’est pas restreinte a Mikrotik, c’est possible avec Cisco, Iptables,
etc …
Les commandes
pour le faire :
;;; NAT Inside to 192.168.1.90
Pour renvoyer le traffic a destination de 190.x.x. vers le 192.168.1.90
chain=dstnat action=dst-nat to-addresses=192.168.1.90 protocol=tcp
dst-address=190.0.x.x dst-port=80
Pour forcer le traffic retour
chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24
dst-address=192.168.1.90 out-interface=ether2-local-master dst-port=80
De cette facon les utilisateurs n'utilisent plus qu'une seule adresse ip en interne et sur internet.
La doc en anglais :
http://wiki.mikrotik.com/wiki/Hairpin_NAT
Aucun commentaire:
Enregistrer un commentaire