« Warum ein Blogg ?Neues Tutorial - VPN auf RED »

SNAT, Was ist das und wofür kann ich das gebrauchen?

Veröffentlicht am 16 Oct 2005 um 9:14 pm. Keine Kommentare.
Gespeichert unter Tips & Tricks, IPCop - Links.

So, es geht nun, wie versprochen, los mit dem ersten Beitrag über ein, wie ich meine, interessantes Thema. Es betrifft zwar nur eine kleine Teilmenge aller IPCop-User, ist aber trotzdem interessant und lehrreich für alle, die sich mit iptables etwas näher beschäftigen wollen.

SNAT steht für Source Network Adress Translation.

Im Gegensatz zu herkömlichen NAT, wird hier nicht die Zieladresse einer Verbindung geändert, sondern die Adresse des sendenden PCs/Servers.

(D)NAT, Standard beim IPCop:
RED 82.x.x.1 wird mit einem Portforwarding auf einenMailserver in ORANGE 172.16.x.50 umgesetzt.

SNAT, nur Teilweise auf dem IPCop implementiert:
Mailserver in ORANGE 172.16.x.50 wird auf RED 82.x.x.2 (ALIAS-IP) umgesetzt.

MASQUERADE ist eine Form von SNAT (Standard beim IPCop), allerdings werden hierbei alle internen IP-Adressen mit nur einer öffentlichen IP-Adresse (RED) zum Internet hin referenziert.

Sobald mehrere öffentliche IP-Adressen vorhanden sind, ist dieses Verhalten meist nicht mehr erwünscht. Wenn z. B. ein Mailserver hinter dem IPCop betrieben werden soll, sollte dessen externe IP-Adresse (MX-Record) auch bei einem ausgehenden Verbindungsaufbau dieses Mailservers sichtbar sein. In der Standardkonfiguration des IPCop erscheint der Mailsever aber unter der primären IP-Adresse von RED im Internet und nicht unter der ALIAS-IP. Als Folge davon klappt der Reverse Lookup nicht und die gesendeten Mails werden von vielen anderen Mailservern als SPAM behandelt und/oder gar nicht angenommen :-(

Hier kommt nun SNAT ins Spiel, das es ermöglicht, einer privaten IP-Adresse aus dem LAN/DMZ eine fixe externe ALIAS-IP zuzuordnen. Wie das geht, ist in dem folgenden Thread aus dem deutschen IPCop-Forum sehr gut beschrieben:

[HowTo] SNAT und IpCop 1.4.x

Ein ähnliches Szenario, allerdings für die Kommunikation zwischen GREEN und BLUE wird hier beschrieben:

Kein Zugriff auf AP an Blau von Grün aus

Für weiterführende Informationen zu iptables empfehle ich folgende Informationsquelle:

Netfilte/Iptables Dokumentation

Gruss
Ecki

Kommentar/Ergänzungen schreiben

(wird nicht veröffentlicht)

:mrgreen: :| :twisted: :arrow: 8O :) :? 8) :evil: :D :idea: :oops: :P :roll: ;) :cry: :o :lol: :x :( :!: :?: