Forum

Palo Alto (Hairpin ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Palo Alto (Hairpin NAT) U-turn nat

Vasvi UYSAL
(@vasviuysal)
Saygın Üye Forum Yöneticisi

Firma veya kurum iç networkünde çalışan bir uygulamaya dışarıdaki kullanıcıları eriştirmek için basitçe nat kuralı
yazıp yönlendiriyoruz. Fakat içerideki kullanıcıları da aynı dns ismi veya ip adresi ile eriştirmemiz gerektiğinde işler
karışabiliyor. Çoğu durumda it yöneticisi arkadaşlar içeride ,dışarıdaki dns zone ismi ile aynı isimde bir zone oluşturup
dışarıda bu zone altındaki tüm kayıtları oluşturup nat'ladığımız A kaydını iç ip adresi ile oluşturmayı tercih ediyor.
Bu yöntem bana her zaman çok gereksiz gelmiştir. Bu sebeple Palo alto üzerinde bu durumu nasıl çözebileceğimizden
bahsetmek istiyorum. Palo Alto bu işleme u-turn nat ismini verse de hairpin nat olarak da geçiyor.

POLICIES altında yeni bir NAT kuralını aşağıdaki şekilde oluşturup erişim ağlayabiliriz.
(eğer erişim sağlayacak clientler ve port yönlendirme yapılan sunucu aynı zone altında ise)

Kural içeriğini basitçe özetlemek gerekir ise :

Source                          Trust-Zone
Destinaton                    Untrust Zone
Destination Interface    any
Source address             any
Destination Address      Port yönlendirme yapılan (PA cihazın) dış bacak interface adresi
Service                          İçeride çalışan servisin portu (vaya any seçilebilir)
Source translation         Dynamic-ip-and-port / iç bacak interface ve ip adresi
Destination translation  Port yönlendirme yapılan (içerideki ) Sunucu ip adresi

Alıntı
Konu başlatıcı Gönderildi : 27/06/2022 15:11

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Eline sağlık.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 27/06/2022 17:16

Paylaş: