Shunze 學園 - 《分享》如何建立loopback規則

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》如何建立loopback規則

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》如何建立loopback規則

使用過Cyberoam的user都知道，在建立一筆Virtual IP的規則後，
Cyberom會自動建立一筆帶 # 號的loopback規則，
以提供內部client user透過外部IP來連結服務主機。

但不知道XG是沒學好？還是什麼其它因素？
這個loopback在XG中是沒有的！
若有需要，管理者必需自己手動建立的！

我們先透過Cyberoam，並以以下情境來看看什麼是loopback規則。

內部192.168.1.101主機mapping一個外部IP 123.123.123.2做虛擬主機，對外服務。
當內部LAN區域電腦192.168.1.7連結虛擬主機的外部IP 123.123.123.2時，
因為Cyberoam中已建有Virtual Host Mapping Table，它知道虛擬主機123.123.123.2其實就是LAN端主機192.168.1.101，
所以流量不會往WAN送，直接往LAN端送給192.168.1.101。
但是當服務主機192.168.1.101要回傳訊息時，它會發現來源端IP 192.168.1.7跟自己相同網段，
所以封包不會經由Cyberoam回傳，而是直接送給同屬LAN的192.168.1.7。
然而對發起端192.168.1.7的電腦而言，我明明是要連到123.123.123.2這個外部IP，
結果卻是由內部IP 192.168.1.101產生回應，要跟我發生曖昧的關係？
這太詭異了吧？

所以發起端192.168.1.7拒絕了來自192.168.1.101的回應訊息，
造成服務連結失敗...

由Cyberoam的角度來看，這是一種不對稱路由，
在預設條件下，不對稱路由也會被Cyberoam封鎖，無法完成交談。
為了解決此問題，Cyberoam會在建立Virtual IP後，自動建立一筆帶 # 號loopback規則，
將來源端強制做了來源端轉址(NAT)政策。
在Cyberoam做了NAT後，服務主機看到的來源端IP會變成Cyberom的介面IP，

當然sync的訊息，也就會丟回Cyberoam，再丟回client端，完成雙向訊息的傳達。
不過在NAT後，服務主機看到的Client端連線，全部都統一被轉成Cyberoam的介面IP，
無法確切的分辦出來源端，這是loopback規則下的一個副作用。

要嘛直連server的內部IP，要嘛透過loopback規則連結外部IP，只能兩選一，沒有其它解法...

在瞭解了loopback規則的來龍去脈後，我們來看看如何在XG上做出loopback規則。

由於是跟Virtual IP有關，所以這loopback規則就跟Virtual IP一樣，也是透過Business Application Rule中的“Non-HTTP Based Policy”模版來建立。
而且兩者之間幾乎一模模一樣樣！

Virtual IP的設定，請參考這一篇→ Virtual IP設定

在幾乎一模一樣的policy中，設定loopback規則要特別注意以下幾點。

在Hosted Server這個區塊裏的Source Zone，我們要由WAN改成ANY，
畢竟從LAN到LAN與從LAN到DMZ都一樣會需要loopback規則的加持，
不需要把Source Zone侷限在LAN或是DMZ，選ANY最好！

那您是否會問，這樣不就連WAN的連入也一併受影響了？

嘿～我們會在第四點，policy的優先順序做一些調整，
讓WAN的連入走Virtual IP policy，而其它Zone則走loopback policy。
接著在Routing的部分，一定要啟用，這樣才能做來源端轉址後，再連到服務主機。
而轉出的IP，用預設的MASQ即可。
而在Reflexive的部分，請不要啟用！
順子會在下一篇跟大家做個測試分析。
完成後，我們需手動把loopback policy調整到Virtual IP的policy之下。

這樣一樣，由WAN來的IP，將走第上一條Virtual IP的policy，不做NAT轉換；
而由LAN或DMA來的IP，將走下一條loopback的policy，進行NAT轉換。

既不影響即有的Virtual IP policy，又完美的解決了內部IP無法以外部IP連結服務主機的問題。

不過就像一開始loopback的處理邏輯中所述，NAT後的IP會是MASQ的IP，
服務主機將無法識別出來源端的真正IP！
這是使用上的一個限制。

Loopback規則設定到此完成～

參考資料
How do you create a loopback/hairpin NAT to an Interface IP?

****2018/8/17補充說明*****
上述的設定有些地方需要調整，
若目標主機在DMZ，則DMZ to WAN的部分，確實有必要轉NAT，建立loopback規則；
但對在LAN的user而言，LAN to WAN的部分就沒有loopback的問題，不需要轉NAT。

所以loopback規則中的來源zone，只要選擇目標主機所在的zone即可，並不需要設定為ANY。

由 shunze 在 2018-08-17, 09:27 最後修改.

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-09-05, 18:10

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Reflexive rule on/off

關於reflexive rule的啟用與否，
由於loopback規則是為了要解決Virtual IP以外部IP提供內部user連結所產生，兩者密不可分。
所以順子拿了Virtual IP與loopback兩種規則的reflexive on/off四種組合做了交叉測試，結果如下。

VIP服務，是指Virtual IP提供外部/內部的連結的服務狀態；
內部連外，是指內部user的連外能力；
連XG內部IP，是指內部user連結XG防火牆的LAN端IP；
連XG外部IP，是指內部user連結XG防火牆的WAN端IP。

由測試結果可以發現，
當loopback規則啟用了reflexive功能後，或多或少都會對內部user的連結能力產生了影響。

因此在建創loopback規則時，請不要啟用reflexive功能！

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2016-09-08, 12:11