কেন আরও সংস্থাগুলি নাট হেয়ারপিনগুলিকে অনুমতি দেওয়ার জন্য অভ্যন্তরীণ ভিতরে NAT বা অনুরূপ সমাধান ব্যবহার করে না?

অভ্যন্তরীণ ইন্টারফেসের কম্পিউটার থেকে কোনও এএসএ বা অনুরূপ ডিভাইসের বহিরাগত ইন্টারফেসে কোনও ওয়েব সার্ভার অ্যাক্সেস করার সময় ভিতরে ভিতরে ন্যাট ওরফে NAT লুপব্যাক চুলের পিন NAT সমস্যার সমাধান করে। এটি ডিএনএস প্রশাসকদের কোনও সদৃশ অভ্যন্তরীণ ডিএনএস জোন বজায় রাখতে বাধা দেয় যাতে তাদের সার্ভারগুলির জন্য সরকারী আরএফসি 1918 ঠিকানা রয়েছে যা পাবলিক ঠিকানায় নেট করা আছে। আমি কোনও নেটওয়ার্ক ইঞ্জিনিয়ার নই, সুতরাং আমার হয়তো কিছু অনুপস্থিত হতে পারে তবে এটি কনফিগার এবং বাস্তবায়নের কোনও অ-বুদ্ধিমান মনে হয়। অসমমিত রাউটিং একটি সমস্যা হতে পারে তবে সহজেই হ্রাস করা যায়।

আমার অভিজ্ঞতায় নেটওয়ার্ক অ্যাডমিন / ইঞ্জিনিয়াররা পছন্দ করেন যে সিস্টেমের লোকেরা NAT ফায়ারওয়ালগুলি সঠিকভাবে পরিচালনা করতে তাদের ফায়ারওয়ালগুলি কনফিগার করার পরিবর্তে কেবল স্প্লিট-ডিএনএস চালায়। কেন?

আমি এটি না করানোর কয়েকটি কারণ রয়েছে:

• আপনার প্রয়োজন না হলে ডিএমজেড রাউটারগুলিতে এবং ফায়ারওয়ালগুলিতে অতিরিক্ত চাপ কেন? আমাদের বেশিরভাগ অভ্যন্তরীণ পরিষেবাদি ডিএমজেডে নয়, সাধারণ কর্পোরেট অঞ্চলে, মাঝে মাঝে দূরবর্তী অ্যাক্সেসের জন্য ডিএমজেডে প্রক্সিং পরিষেবা রয়েছে। ভিতরে-ভিতরে-ভিতরে নাট করা ডিএমজেডে আরও বেশি বোঝা যুক্ত করে, যা আমাদের ক্ষেত্রে তাৎপর্যপূর্ণ হবে।
• আপনি যদি ডিএনএটি + এসএনএটি না করেন, তবে আপনি অ্যাসিমেট্রিক রাউটিং পাবেন যা সঠিকভাবে পাওয়ার পক্ষে কুখ্যাত trick সুতরাং আপনি SNAT এবং উত্স আইপি তথ্য হারাতে। তবে সমস্যা সমাধানের উদ্দেশ্যে উত্স আইপিগুলি লোকেদের সাথে সংযুক্ত করা রক্তাক্ত কার্যকর। বা মাঝেমধ্যে মূর্খতার ক্ষেত্রে নর্ম্পশুটিং উদ্দেশ্য। "আরে এই আইপি অবিচ্ছিন্ন সার্ভিস এক্স এর জন্য কিছুটা কৌতুকপূর্ণ কাজ করছে" "ওহ, আসুন ইমামপ সার্ভারের লগগুলি কে সেগুলি দেখুন"।

স্পষ্টতই, এর সুনির্দিষ্ট উত্তর থাকতে পারে না তবে আমি বেশ কয়েকটি কারণ নিয়ে ভাবতে পারি:

1. কমনীয়তা: NAT শুরু করার জন্য খুব মার্জিত নয়, তবে আইপিভি 4 এর সীমিত ঠিকানা জায়গার একটি প্রয়োজনীয়তা। আমি যদি NAT এড়াতে পারি, আমি করব will আইপিভি 6 এর সাথে সমস্যাটি যে কোনও হারে চলে যাচ্ছে।
2. জটিলতা: বিশেষত এমন একটি ক্ষেত্রে যেখানে আপনার সমস্ত সুরক্ষা সীমানা তৈরি করে কেবল একটি একক "কোর" রাউটার নেই, ফিল্টার কনফিগারেশনগুলি বেশ জটিল হয়ে উঠতে পারে। হয় বা আপনাকে আপনার প্রায় সমস্ত রাউটার ডিভাইস জুড়ে NAT বিধি ছড়িয়ে দিতে এবং বজায় রাখতে হবে।
3. তথ্যসূত্র: যেখানেই ফায়ারওয়াল অ্যাডমিনরা বাকি সার্ভার অ্যাডমিন দলের চেয়ে আলাদা ভাবেন সেখানে তাদের পৌঁছনো কঠিন হতে পারে। ফায়ারওয়াল প্রশাসকের ব্যাকলগ (বা অবকাশ) দ্বারা পরিবর্তনগুলি বিলম্বিত না হয় তা নিশ্চিত করার জন্য, একই দলে দায়িত্ব রাখার বিকল্পটি বেছে নেওয়া হয়েছে
4. বহনযোগ্যতা এবং সাধারণ অনুশীলন: এই সমস্যাটি সমাধান করার জন্য ডিএনএস মতামত ব্যবহার করা "প্রত্যেকেরই জানা জিনিস কেবল তাই করা"। প্রতিটি বাউন্ডারি রাউটার লুপব্যাক নেটকে সোজা উপায়ে সমর্থন করে না, কম লোকেরা আপনার নির্দিষ্ট পরিবেশে কীভাবে এটি সঠিকভাবে সেট আপ করবেন তা সম্ভবত জানা থাকে। নেটওয়ার্ক সমস্যার সমাধানের সময় ক্রুদের হেয়ারপিন নাট কনফিগারেশন এবং এর সমস্ত বিষয় সম্পর্কে সচেতন হওয়া দরকার - এমনকি তারা যখন আপাতদৃষ্টিতে কোনও সম্পর্কযুক্ত সমস্যাটির পিছনে রয়েছে তখনও

দাবি অস্বীকার - এটি একটি শিখা উত্তর।

একটি সাধারণ কারণ যা আমি মনে করি এর সমাধানগুলি এড়ানো হয় তা নেটওয়ার্ক ইঞ্জিনিয়ারদের পক্ষ থেকে NAT এর একটি যুক্তিযুক্ত ভয় / ঘৃণা । আপনি যদি এ নিয়ে আলোচনার কয়েকটি উদাহরণ দেখতে চান তবে এগুলি দেখুন:

• http://packetpushers.net/show-86-connect-to-the-ipv6-internet-for-free-using-tunnelbroker-net/
• http://networkingnerd.net/2012/04/02/ipv6-nat-and-the-sme-a-response/ (টমের ব্লগ মনে হয় না বরং উত্সাহী NAT / IPv6 আলোচনার প্রতি আকৃষ্ট করতে থাকবে)
• http://libertysys.com.au/blog/nat-is-evil-but-not-bad (আমার ব্লগ)

আমি যেটুকু বলতে পারি তা থেকে অনেকটাই ভয় সিসকোর NAT এর বাস্তবায়ন থেকে উদ্ভূত হয় (সুতরাং সেই দিক থেকে এটি যুক্তিযুক্ত হতে পারে না), তবে আমার মতে "ক্লাসিক" নেটওয়ার্ক ইঞ্জিনিয়ার "নেট" তে এত ভালভাবে ছড়িয়ে পড়েছে খারাপ "বিশ্বদর্শন, যে সে বা সে এরূপ সুস্পষ্ট উদাহরণ দেখতে পাচ্ছে না যেখানে এটি নিখুঁত জ্ঞান তৈরি করে এবং সমাধানটি সহজতর করে।

সেখানে আপনি যান - আপনার হৃদয়ের বিষয়বস্তু ডাউনভোট! :-)

আমার অনুমান:

1. স্প্লিট ডিএনএস আরও সহজে বোঝা যায়।
2. NAT হেয়ারপিন রাউটারে রিসোর্স ব্যবহার করে যখন স্প্লিট-ডিএনএস না করে।
3. রাউটারগুলির ব্যান্ডউইথ সীমাবদ্ধতা থাকতে পারে যা আপনি কোনও স্প্লিট-ডিএনএস সেটআপের মাধ্যমে পান না।
4. আপনি কোনও রাউটিং / এনএটি ধাপগুলি এড়ানোর কারণে স্প্লিট-ডিএনএস সর্বদা আরও ভাল পারফরম্যান্স করবে।

হেয়ারপিন NAT এর প্লাস সাইডে,

• এটি সেটআপ হয়ে গেলে এটি কেবল কাজ করে।
• ওয়ার্ক নেটওয়ার্ক এবং পাবলিক ইন্টারনেটের মধ্যে ল্যাপটপের জন্য ডিএনএস ক্যাশে নিয়ে কোনও সমস্যা নেই।
• সার্ভারের জন্য ডিএনএস কেবলমাত্র এক জায়গায় পরিচালিত হয়।

একটি অভ্যন্তরীণ সার্ভারে কম ট্রাফিক প্রয়োজনীয়তা সহ একটি ছোট নেটওয়ার্কের জন্য আমি হেয়ারপিন NAT নিয়ে যেতে পারি। সার্ভারের সাথে অনেকগুলি সংযোগ সহ বৃহত্তর নেটওয়ার্কের জন্য এবং যেখানে ব্যান্ডউইথ এবং ল্যাটেন্সি গুরুত্বপূর্ণ, স্প্লিট-ডিএনএস সহ যান।

আমার দৃষ্টিকোণ থেকে, এটি সিসকো পিক্সের মধ্যে এএসএ রূপান্তরটির মধ্যে কিছুটা পরিবর্তন হয়েছিল। aliasকমান্ড হারিয়েছি । এবং সাধারণভাবে, সিসকো ফায়ারওয়ালের অভ্যন্তরীণ ইন্টারফেস থেকে বাইরের ঠিকানাটি অ্যাক্সেস করার জন্য কিছু ধরণের কৌশল প্রয়োজন। দেখুন: আমি কীভাবে আমার বাহ্যিক আইপিতে আমার অভ্যন্তরীণ সার্ভারে পৌঁছতে পারি?

যদিও আমাদের সর্বদা সদৃশ অভ্যন্তরীণ ডিএনএস অঞ্চল বজায় রাখা দরকার হয় না। সিসকো এএসএ NAT স্টেটমেন্টে কনফিগার করা থাকলে বাহ্যিক ঠিকানাগুলির জন্য DNS প্রশ্নের পুনর্নির্দেশ করতে পারে। তবে গ্রানুলারিটি থাকতে এবং ফায়ারওয়ালে পা রাখার পরিবর্তে এটিকে এক জায়গায় পরিচালনা করতে সক্ষম হওয়ার জন্য আমি পাবলিক ডিএনএস জোনের জন্য একটি অভ্যন্তরীণ অঞ্চল রাখতে পছন্দ করি।

সাধারণত, কেবলমাত্র কয়েকটি সার্ভার রয়েছে যা পরিবেশের মধ্যে এটির প্রয়োজন হতে পারে (মেল, ওয়েব, কয়েকটি পাবলিক সার্ভিস), সুতরাং এটি কোনও দুর্দান্ত সমস্যা হয়নি।

আমি কয়েকটি কারণ সম্পর্কে ভাবতে পারি:

1. অনেকগুলি সংস্থাগুলি তাদের সমস্ত অভ্যন্তরীণ ডিএনএস তথ্য বিশ্বের কাছে প্রকাশ না করার ফলে ইতিমধ্যে ডিএনএসকে বিভক্ত করেছে, তাই কোনও সার্বজনীন আইপি-র মাধ্যমে উন্মুক্ত কয়েকটি সার্ভার পরিচালনা করার জন্য এটি অতিরিক্ত অতিরিক্ত প্রচেষ্টা নয়।
2. যেহেতু কোনও সংস্থা এবং এর নেটওয়ার্ক বৃহত্তর আকার ধারণ করছে, তারা প্রায়শই অভ্যন্তরীণ লোকদের সার্ভিসিং সিস্টেমগুলি বহির্মুখী সার্ভারগুলি থেকে সার্ভারগুলি থেকে পৃথক করে, তাই অভ্যন্তরীণ ব্যবহারের জন্য বাহ্যিকগুলিতে যাত্রা অনেক দীর্ঘ নেটওয়ার্কের পথ হতে পারে।
3. মধ্যস্থতাকারী ডিভাইসগুলি প্যাকেটগুলিতে যত কম পরিবর্তন সাধন করে, ততক্ষণে যখন বিলম্বিতা, প্রতিক্রিয়া সময়, ডিভাইস লোড এবং সমস্যা সমাধানের বিষয়টি আসে তখন তত ভাল।
4. (খুব নাবালিকা, স্বীকারোক্তি সহ) এমন কিছু প্রোটোকল রয়েছে যা নাটিং ডিভাইসটি প্যাকেটের শিরোনামের বাইরে না গিয়ে নতুন আইপি ঠিকানা (এস) এর মাধ্যমে এতে ডেটা পরিবর্তন করে না NAT এমনকি এটি কেবল প্রাতিষ্ঠানিক স্মৃতির ক্ষেত্রে হলেও, লোকেদের এটি এড়াতে এটি এখনও একটি বৈধ কারণ, বিশেষত যদি তারা এমন প্রোটোকল নিয়ে কাজ করে যা তারা সম্পর্কে 100% নিশ্চিত নয়।

আমি যদি NAT লুপব্যাক ব্যবহার করতে যাচ্ছিলাম তবে NAT ডিভাইস কীভাবে স্পুফড উত্সের ঠিকানাগুলি পরিচালনা করবে তা নিয়ে আমি কিছুটা চিন্তিত হয়ে পড়ব। প্যাকেটটি কোন ইন্টারফেসটি এসেছিল তা যদি এটি পরীক্ষা না করে তবে আমি ডাব্লুএএন থেকে অভ্যন্তরীণ ঠিকানাগুলি ছদ্ম করে দিতে পারি এবং অভ্যন্তরীণ ঠিকানা সহ সার্ভারে প্যাকেটগুলি প্রেরণ করতে পারি। আমি উত্তর পেতে পারি না, তবে আমি অভ্যন্তরীণ ঠিকানা ব্যবহার করে সার্ভারের সাথে আপস করতে সক্ষম হতে পারি।

আমি NAT লুপব্যাক সেটআপ করব, ডিএমজেড স্যুইচটিতে প্লাগ করব এবং ছদ্মবেশী অভ্যন্তরীণ উত্সের ঠিকানা দিয়ে প্যাকেটগুলি প্রেরণ করব। সেগুলি প্রাপ্ত হয়েছে কিনা তা দেখতে সার্ভার লগটি পরীক্ষা করুন। তারপরে আমি কফি শপে গিয়ে দেখতাম আমার আইএসপি স্পোফড ঠিকানাগুলি ব্লক করছে কিনা। যদি আমার পাওয়া যায় যে আমার NAT রাউটারটি উত্স ইন্টারফেসটি চেক করছে না, আমার আইএসপি চেক করে থাকলেও আমি সম্ভবত NAT লুপব্যাক ব্যবহার করব না।