Hairpin NAT(NAT loopback) Konfigürasyonu
Senaryo: Dış dünyaya açık bir site ve source olarak all olmasına rağmen lokalden erişim sağlayamıyordum. Firewall içerisinde bulunan blok çıkışta siteye hit etmiyordu. Lokal sunucuya kural yazdım fakat sorun devam ediyordu çünkü lokal dns tanımı bulunmuyor ve wan tarafta yayın sağlanıyordu. Sorunu ise lokalden internete çıkmadan diğer lokale Hairpin Nat ile giderildi. Burada dikkat edilmesi gereken şey ise Arp Reply açıkm olması ve VİP’de İnterface kullanımıdır. Teknik detayları aşağıda sizinle paylaşıyorum.
Fortinet Hairpin NAT, bir ağ cihazı olan Fortinet Firewall’un bir özelliğidir. Bu özellik, bir ağdaki iç ve dış IP adresleri arasında iletişim kurulmasını sağlar.
Normal şartlar altında, bir ağda bulunan bir cihaz, iç IP adresi ile diğer cihazlarla iletişim kurar. Ancak, aynı ağda bulunan bir başka cihaza erişmek istediğinde, cihazın dış IP adresi kullanılır. Bu durumda, Fortinet Hairpin NAT devreye girer ve iç ağda bulunan cihazların dış IP adresi kullanılarak iletişim kurmasına olanak tanır.
Örneğin, bir web sunucusu iç ağda bulunur ve dış IP adresi üzerinden erişilebilir durumdadır. Aynı iç ağda bulunan bir başka cihaz, bu web sunucusuna erişmek istediğinde, normalde dış IP adresi kullanarak erişim sağlaması gerekir. Ancak Fortinet Hairpin NAT özelliği sayesinde, bu cihaz web sunucusuna iç IP adresi ile doğrudan erişebilir.
Fortinet Hairpin NAT, ağdaki trafik yönlendirmesi işlemlerini yönetir. Bu özellik sayesinde, iç ağda bulunan cihazlar arasında iletişim kurulması daha hızlı ve güvenli hale gelir. Ayrıca, dış IP adresi kullanımı azalır ve ağda oluşabilecek sorunlar daha kolay çözülebilir hale gelir.
Teknik olarak, Fortinet Hairpin NAT, bir NAT (Network Address Translation) işlemidir. Bu işlem, dış IP adresi kullanarak gelen bir isteği, iç ağdaki doğru cihaza yönlendirmek için gerçekleştirilir. Bu işlem, firewall’un NAT tablosundaki kurallar kullanılarak yapılır. NAT tablosu, gelen trafik için hangi IP adresinin hangi iç ağ cihazına yönlendirileceğini belirler.
1. Bir VIP oluşturun
Hairpin için bir politika oluşturmadan önce, VIP aracılığıyla dışarıdan içeriye trafiği yöneten bir politika olduğundan emin olun.
İlke ve Nesneler > Sanal IP’ler > Yeni Oluştur > Sanal IP’ye gidin . Ad kutusuna VIP için bir ad girin.
Arayüzü herhangi biri olarak ayarlayın .
Harici IP Adresi/Aralığı ve Eşlenen IP Adresi/Aralığı girin .
Bağlantı Noktası Yönlendirmeyi etkinleştirin ve Harici Hizmet Bağlantı Noktasını ve Bağlantı Noktasına Eşle’yi belirtin .
Dikkat edilmesi gereken konular ise;
- İnterface Any olmalıdır.
- Arp Reply açık olmalıdır.
2. Bir politika oluşturun
Saç tokası için bir politika oluştururken, trafik VIP’nin harici arayüzüne çarpacak olsa bile, dahili arayüzün Gelen Arayüzü olarak kullanılması önemlidir . Bu durumda Gelen Arayüz ve Giden Arayüz aynı arayüz olacaktır.
İlke ve Nesneler > IPv4 İlkesi > Yeni Oluştur’a gidin . Ad kutusuna ilke için bir ad girin.
İlkeyi oluşturmak için grafikte görüntülenen ayarları kullanın.
NAT’ın devre dışı olduğundan emin olun.
Hairpin Nat’a dair;
• Bu, tek bir dış adrese sahip sınırlı sayıda IPv4 adresi olan ortamlarda daha fazla iç adresin desteklenmesine olanak tanır. Hairpin NAT, tek bir dış IP adresi altında çok sayıda iç IP adresini hidrolize ederek genişletilebilirlik sorunlarını giderir.
• Cevap paketleri, başlangıçta gönderilen paketin ters yönünde gönderilir. Bu, dış adresten farklı bir iç adrese ulaşmasına neden olur. Bu da “hairpin dönüşü” olarak adlandırılır.
• Hairpin NAT, tanılama ve izleme zorluklarına neden olabilir. Protokol analizi zorlaşabilir ve kaynak/hedef adresleri karışabilir. Paket izleme araçları ve ağ cihazları hairpin dönüşlerini takip etmekte zorlanabilir.
• Güvenlik açığı oluşturabilir. İç ağdaki makineler arasındaki iletişim, dışadresler tarafından yönlendirildiğinden, güvenlik duvarları tarafından filtrelenmeyebilir. Bu, kötü amaçlı trafiğin iç ağa sızmasına izin verebilir.
• Performans sorunlarına neden olabilir. Hairpin NAT, ilave yönlendirme ve paket işleme gerektirdiğinden, ağ performansını düşürebilir.
About the Author
