NGNIX - Aplicar SNAT para evitar roteamento assimetrico

amarildosertorio
(usa Fedora)

Enviado em 01/11/2024 - 14:48h

Por isso, existe o header X-Forwarded-For.

É um header da camada 7, e sua função é armazenar o IP do cliente original.

Carlos_Cunha
(usa Linux Mint)

Enviado em 01/11/2024 - 15:13h

Ai que vc esta confundindo, o NGIX deve sempre retorar os pacotes pro GW, so vai responder direto o que for da sua mesma rede(mascara de redes) de outras redes deve ser roteada pelo Firewall que é o GW, isso que roteamento, fazer redes distintas se comunicarem.
Se não for assim, imagina um servidor web,webmail que estiver na rede X, quem esta na rede Y, não acessa se ele não tiver uma perna na rtede Y, mas com roteamento acessa pwq o GW sabe chegar nas duas redeas.

Exemplo:

GW Da rede(todas) , Firewall - 192.168.1.254/24
172.16.0.254/24


# DMZ
NGNIX - IP 192.168.1.1/24
SERVIDOR-SITE- P 192.168.1.2/24

# VLAN REDE INTERNA 100
User 1 - 172.16.0.10/24

# REDE INTERNA-3
User 2 - 192.168.1.100/24

Quando User1 vai acessar o Servidor Final 192,168.1.2, ele vai ir ate o NGIX e ele vai direcionar pro Servidor 1
Caminho IDA: user 1 -> GW -> NGIX -> Servidor Final
Caminho Volta: Servidor Final -> GW -> User 1

Quando User2 vai acessar o Servidor Final 192,168.1.2, por serem na mesma rede não passa pelo NGNIX
Caminho IDA: User 2 - Servidor Final
Caminho Volta: Servidor Final -> User 2

Se ele quer que tudo sempre passe pelo NGNIX o mesmo não deve estar em uma rede de acesso direto, deve estar em um Rede Unidade, se não tudo que local sera acessado direto.

Ou seja não tem pq a volta ser para o NGNIX ele é um balanceador de carga de entrada.


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Carlos_Cunha
(usa Linux Mint)

Enviado em 01/11/2024 - 15:18h

Isso fica dentro do pacote( ou do payload, não lembro) e precisa ter algo la na outra ponta que analisa isso, seja para controle/logs/etc.

Firewall atuais não lidam dessa forma, ou analisam Ips Puro/rede, camada 2 e 3 (direta), ou aplicações(analise de trafego baseado em diversos fatores para tomar ações), isso e um controle layer 7...
Trabalho com Sophos/Fontinet/SonicWall e nenhum dele ate aonde sei vc consegue por exemplo fazer um controle baseado o -forward-for de uma cabeçalho, com iptables-puro pode ate dar, mas isso em produção de um empresa grande não existe.
E outra muito mais facil achar algo que analise a camada 2 e 3, ou cabeçalho do pacote, nao que não exista mas é mais complexo.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

amarildosertorio
(usa Fedora)

Enviado em 01/11/2024 - 15:20h

Gostaria muito de compartilhar meu ambiente e como o balanceador opera, mas, infelizmente, não será possível. Enfim, vou me aprofundar mais no assunto.

Agradeço pela atenção!

Carlos_Cunha
(usa Linux Mint)

Enviado em 01/11/2024 - 15:28h

Troca de conhecimentos sempre bem-vinda , outros (assim como eu e vc) que verem esse topico, podem e vão "absorver" algum conhecimento seja novo ou aprimorar o que ja possuem.

Abraço

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Carlos_Cunha
(usa Linux Mint)

Enviado em 01/11/2024 - 15:29h

E o Importante o autor do tópico teve seu problema resolvido.
O que "debatemos" depois foi as melhores formas, mas o obejtivo final foi adquirido.

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#