JSN Mico - шаблон joomla Авто
შესვლა რეგისტრაცია

შეხვიდეთ თქვენს ანგარიშზე

მომხმარებლის სახელი *
პაროლი *
დამიმახსოვრე

შექმენი ანგარიში

ველი რომელიც აღნიშნულია ვარსკვლავი (*) აუცილებელია.
სახელი *
მომხმარებლის სახელი *
პაროლი *
დაადასტურეთ პაროლი *
ელ-ფოსტა *
დაადასტურეთ ელ-ფოსტა *
Captcha *
  • dgdfgdg-laoderi.png
  • dosddos.png
  • dosddosxx.png
  • ubiquiti.png

Hairpin NAT. ნაწილი 5

დაახლოებით 10% ითხოვს ჩვენს ტექნიკური დახმარებას მაინც ან ამ სტატიის თემასთან დაკავშირებით.

ასე რომ, რა არის Hairpin NAT და რატომ არის იგი საჭირო.

ეს კონფიგურაცია ჩვეულებრივ საჭიროა, თუ გამოაქვეყნეთ გარე მისამართი (DST-nat) სერვერზე, და რომ ის იყოს ხელმისაწვდომი გარე მისამართით ქსელის შიგნიდან.

დავიწყოთ ქსელის ძირითადი კონფიგურაციიდან.

12pt;">თქვენ გაქვთ IP მისამართი 1.1.1.1/24 თქვენი მარშრუტიზატორის WAN ინტერფეისზე

  • თქვენ გაქვთ IP მისამართი 192.168.0.1/24 თქვენი მარშრუტიზატორის LAN ინტერფეისზე.
  • თქვენ გაქვთ www-სერვერი მისამართით 192.168.0.10 LAN სეგმენტში.
  • თქვენი კომპიუტერის მისამართი იმყოფება LAN მისამართების დიაპაზონში. მაგალითისათვის ეს იყოს 192.168.0.5

     სქემა

სრულიად ლოგიკურია? რომ იმისათვის, რომ გამოაქვეყნოს web-სერვერი გარე ინტერფეისზე, თქვენ შექმნით წესს DST-nat შემდეგი სახით:

 /ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp \ to-addresses=192.168.0.10

მიაქციეთ ყურადღება, რომ წესში არ არის მითითებული in-interface, ასე რომ როგორც წესი, უნდა ამუშავდეს მიმართვისას 80 პორტზე მისამართით 1.1.1.1 ნებისმიერი ინტერფეისიდან.

თქვენ ამას აკეთებთ და ...

და თქვენთან ყველაფერი შესანიშნავად მუშაობს გარე ქსელიდან (ინტერნეტიდან მიმართვისას), მაგრამ მიმართვა თქვენი კომპიუტერიდა მისამართზე http://1.1.1.1 ამბობს "არ არის პასუხი სერვერიდან." იმისათვის, რომ გავიგოთ, ვხაზავთ გადაცემისა და პაკეტის გარდაქმნის სქემას:

ახლა ჩამოვწეროთ თუ რა ხდება ყოველ ეტაპზე.

ეტაპი 1.
კომპიუტერი მისამართით 192.168.0.5 ცდილობს მოახდინოს დაკავშირება მისამართთან 1.1.1.1 პორტით 80 და აგზავნის პაკეტს მარშრუტიზატორზე.

ეტაპი 2.
მარშრუტიზატორზე ამუშავდება წესი DST-nat, რის გამოც პაკეტის დანიშნულების მისამართი შეიცვლება 192.168.0.10-ით, და პაკეტი იგზავნება www-სერვერზე 192.168.0.10

ეტაპი 3.
კვანძი 192.168.0.10 მიიღო პაკეტი წყაროს მისამართით 192.168.0.5, განსაზღვრავს, რომ ისინი ორივე იმყოფებიან ერთ ლოკალურ ქსელში და პასუხობს პირდაპირ, მარშრუტიზატორის გვერის ავლით.

პრობლემა

კომპიუტერი, რომელმაც გააგზავნა პაკეტი მისამართზე 1.1.1.1, მოულოდნელად იღებს პასუხს მისამართიდან 192.168.0.10. რა თქმა უნდა ის ამ პაკეტს უგულებელყოფს და დაკავშირება არ ხორციელდება.

გადაწყვეტილება

ამ პრობლემის მოსაგვარებლად, აუცილებელია, რომ www-სერვერმა მიიღოს პაკეტი, რომლის წყაროს მისამართი ტოლია მარშრუტიზატორის მისამართთან.

ვამატებთ წესს ჩვენს კონფიგურაციაში, რომელიც ცვლის გამგზავნელის მისამართს, მარშრუტიზატორის ინტერფეისის მისამართით და მივიღებთ ასეთ კონფიგურაციას:

/ip firewall nat add action=dst-nat chain=dstnat dst-address=1.1.1.1 dst-port=80 protocol=tcp \
to-addresses=192.168.0.10 add action=masquerade chain=srcnat dst-address=1.1.1.1 dst-port=80 protocol=tcp \ 
src-address=192.168.0.0/24


ახლა ჩვენი კონფიგურაცია მუშაობს გამართულად. სქემა გაგებისთვის:

სქემის მუშაობა

ნაბიჯი 1.
კომპიუტერი მისამართიდან 192.168.0.5 ცდილობს დაკავშირებას მისამართით 1.1.1.1 პორტზე 80 და აგზავნის პაკეტს მარშრუტიზატორზე.

ნაბიჯი 2.
მარშრუტიზატორზე მუშავდება წესი dst-nat, რომლის დროსაც პაკეტის დანიშნულების მისამართი იცვლება 192.168.0.10 და წესი src-Nat, სადაც პაკეტის წყაროს მისამართი იცვლება მარშრუტიზატორის ინტერფეისის მისამართზე (192.168.0.1). ამის შემდეგ, პაკეტი იგზავნება www-სერვერზე 192.168.0.10

ნაბიჯი 3.
კვანძი 192.168.0.10 მიიღო პაკეტი წყაროს მისამართით 192.168.0.1 (მარშრუტიზატორის მისამართი), განსაზღვრავს, რომ ისინი ორივე იმყოფება ერთი და იმავე ლოკალურ ქსელში და პასუხობს მას. რის შედეგადაც პაკეტი ხვდება მარშრუტიზარორზე

ნაბიჯი 4.
მარშრუტიზატორის Connection Tracker მიიღებს ასეთ პაკეტს ის ასრულებს მისამართების საპირისპირო გარდაქმნას. კომპიუტერული იღებს მოსალოდნელ პასუზს მისამართიდან 1.1.1.1

სწორედ ასეთი მისამართების ტრანსლაციის სქემა არის Hairpin NAT.

უნდა აღინიშნოს, რომ ამ სქემაში არსებობს პრობლემა. იგი შედგება იმაში, რომ გამოქვეყნებული სერვერზე მიიღებს მოთხოვნას ლოკალური ქსელის ჰოსტიდან მარშრუტიზატორის მისამართზე. რაც ყოველთვის არ არის კარგი. მაგალითად, თუ თქვენ ასე გამოაქვეყნებთ გამჭვირვალე proxy-სერვერს, ნაკლებად სავარაუდოა, რომ თქვენ უნდა შეაგროვოთ ნორმალური სტატისტიკა.

ალტერნატიული ასეთი სქემები შეიძლება ემსახუროს.

  1. გამოქვეყნების გატანას, ან თუნდაც ყველა სერვერების ცალკე ქვე-ქსელში.
  2. გამოყენება ე.წ. split-dns. როცა კომპიუტერი არის გარე ქსელში თხოვნაზე www.mydomain.com მიიღებს მისამართს 1.1.1.1, და თუ იქნება ქსელის შიგნით ამ მოთხოვნაზე ექნება მისამართი 192.168.0.10

ამით ვამთავრებ სტატიის ციკლს NAT-ის შესახებ Mikrotik-ში.
იმედი მაქვს, შევძელი ამეხსნა NAT-ის მუშაობის ყველა ძირითადი მომენტი მარშრუტიზატორებში Mikrotik.
მოხარული ვიქნები კომენტარებისთვის

სტატია დაწერილია MikroTik-ის სერთიფიცირებული ტრენერის მიერ კნიაზევი ი.ნ., ტექნიკური დირექტორი.

საიტი შეიცავს მხოლოდ გადამოწმებულ მასალას MikroTik-ის მოწყობილობების დასაკონფიგურირებლად.

ჩვენ ვიყენებთ Cookies-ს, რათა დავრწმუნდეთ იმაში, რომ გაძლევთ საუკეთესო გამოცდილებას ჩვენს ვებ-გვერდზე ყოფნისას. Cookies-ს გამოყენებასთან დაკავშირებით ამომწურავი ინფორმაცია იხილეთ Cookie პოლიტიკა. ამ საიტის გამოყენებით თქვენ ავტომატურად ეთანხმებით Cookies-ის გამოყენების უფლებას.