NGNIX - Aplicar SNAT para evitar roteamento assimetrico

elias.paulo
(usa Debian)

Enviado em 31/10/2024 - 13:05h

Oi Pessoal

Surgiu um problema em meu servidor REDHAT com NGINX, é referente a roteamento assimetrico, preciso mascarar todos os acessos que recebo da ETH0 com IP 10.1.10.1 para da ETH1 172.16.10.11, ou seja, todas as conexões que recebo da ETH0 devem ser mascarada para o IP da ETH1 (172.16.10.11), preciso disso para evitar roteamento assimetrico, conseguem me ajudar? Tentei várias comandos no REDHAT porém sem sucesso.
Meu Linux é: Red Hat Enterprise Linux release 8.10 (Ootpa)

Agradeço a ajuda!!!

amarildosertorio
(usa Fedora)

Enviado em 31/10/2024 - 15:23h

iptables -t nat -A POSTROUTING -i eth0 -o eth1 -j SNAT --to-source 172.16.10.11

Carlos_Cunha
(usa Linux Mint)

Enviado em 31/10/2024 - 16:31h

Mano, não é melhor fazer o correto do que meter gambiara dessas?
Se tem trafégo assimetrico e pq tem algo errado, a menos que vc não possa corrigir(por algum bom motivo), isso não vejo pq fazer coisas desse tipo....

Ja saber como esta ocorrendo esse trafégo assimetrico ? Se sim, poste aqui.



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

Buckminster
(usa Debian)

Enviado em 31/10/2024 - 16:36h

Como você sabe que é problema de roteamento assimétrico?
Tem sub-redes configuradas erradas?


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

amarildosertorio
(usa Fedora)

Enviado em 31/10/2024 - 16:39h

O autor da pergunta é Analista de Redes, pessoal! Se fosse simples de resolver, ele não teria trazido essa questão para a rede. Lido com problemas de roteamento assimétrico também, e sei que não é nada trivial.

Carlos_Cunha
(usa Linux Mint)

Enviado em 31/10/2024 - 16:49h

O que deixa pior ainda a coisa....
O fato dele ser X ou Y não diz nada, o certo deve ser feito, ainda mais em algo danoso como trafégo assimetrico.
E outra se ele não sabe fazer o que pediu ja demsnotra que não esta habil para definir se sabe ou não resolver seu problema ou se o problema e esse mesmo.

O que eu pedi é mais informações para uma resolução mais correta possivel.

OBS: Não quero dizer se o auto rsabe ou não, isso não compete a min, mas compete a min tentar ajudar da melhor forma.

#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

amarildosertorio
(usa Fedora)

Enviado em 31/10/2024 - 16:53h

Ele certamente tem noção do que está fazendo e, muito provavelmente, sabe qual seria o ideal. Mas não conhecemos a complexidade da rede dele, e sabemos que alguns problemas não se resolvem do dia pra noite.

amarildosertorio
(usa Fedora)

Enviado em 31/10/2024 - 17:12h

Embora eu não seja de redes, reconheço que o NAT é uma alternativa viável durante o desenvolvimento de projetos e janelas de correção.

Carlos_Cunha
(usa Linux Mint)

Enviado em 31/10/2024 - 17:45h

Concordo.
Soluções emergencias ou soluções paliativas temporarias, existem e sempre vão existir, e elas geralmente não são a melhores(vide por N coisas), e não tem problema nisso.
A questão e que ele não passou que o caso dele seja nesse tipo de ambiente, e sim ele ja quis ir para uma solução dessas(entendesse gambiara) , sendo que ao meu ver deveria ser tentado(por isso ele pediu ajuda aqui) uma outra abordagem para analisarmos e achar a raiz do problema e aplica a correção de fato.

Ele pode vir aqui e dizer a estou sem tempo de analise e preciso algo funcional, OK, super entendo, mas pra isso precisamos de mais dados, que foi o que solicitei.
As vezes e algo bem simpels, que a solução final e melhor e mais rapida que as alterantivas.




#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

elias.paulo
(usa Debian)

Enviado em 31/10/2024 - 18:05h

Então pessoal, hoje o GW da rede é meu FIREWALL, porém a equipe de DEV/APP colocou o NGINX no ambiente (claro seguindo a regra de não desenhar a topologia e fluxo de conexão), resultado o NGINX ficou na mesma rede que os servidores.
O pacote entra pelo FW --> NGINX -->> SERVIDOR, porém a volta do pacote é através do firewall (GW do SERVER) e ativa a regra de antispoofing.

Para corrigir eu teria que reposicionar o NGINX e acertar o roteamento ou mudar o GW dos servidores, passando do FW para o NGINX (isso é inviavel)
A ideia do SNAT é para contornar o problema, até desenharmos a estrutura e ajustar todo o roteamento.

Como é um server LINUX, não manjo deste tipo de config, e o cara q impantou o NGINX seguiu a receita de bolo pronta e agora jogou o problemas para nós.

A dica que o Amarildo Sertorio passou corrigiu o roteamento e conseguimos contornar o problema, agora é iniciar o processo de desenho de rede para implementar a solução definitiva

Obrigado a todos pelo help e informações.... ajudou muito!!!!

Valeu!!!!!

amarildosertorio
(usa Fedora)

Enviado em 31/10/2024 - 18:18h

Policy-Based Routing (PBR) não resolveria?

Roteamento baseado em políticas nos firewalls para garantir que o tráfego de retorno utilize a mesma interface de saída pela qual o tráfego de entrada chegou. 

Carlos_Cunha
(usa Linux Mint)

Enviado em 31/10/2024 - 18:26h

Certo, entendi, a forma mais simples de correção e deixar o NGINX em apenas uma rede, remova uma dessas interfaces, a final pq ele tem duas?!! Ele precisa ter "um pesinho" em duas redes pq? Vide que vc tem um ativo(FW) que faz o papel de GW....
Ai o que for da mesma rede da interface que vc deixou vai acessar direto e o que não for vai acessar via roteamento do Seu Firewall que ja é GW.
Com isso vc não precisaria mudar nada, isso so seria "dificil" se vc tem acesso vindo dos dois lado....



#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#