Dubbio sull'utilizzo della funziona "do not NAT" (OutBound NAT)

X-Falko

Ciao a tutti,
come da titolo avrei necessità di capire qualcosa di più riguardo alla regola "do not NAT" presente nella configurazione dell' outbound NAT.

Ovvero, so come funziona l'outbound NAT e come definire un ip in uscita da un pool, ma tuttavia continua a sfuggirmi la funzionalità sopra indicata.

Quindi la domanda è: in che casistica dovrei usarla e perché?

Un grazie a tutti

kiokoman

solitamente non si usa mai ... che mi venga in mente.. quando utilizzi il protocollo carp / failover tra due device, in una rete dove ci sono altri device che richiedono il NAT, il "do no NAT" è necessario al protocollo carp quando il device di backup entra in funzione, altrimenti la rete non funziona
più chiaro di così si muore

X-Falko

@kiokoman said in Dubbio sull'utilizzo della funziona "do not NAT" (OutBound NAT):

solitamente non si usa mai ... che mi venga in mente.. quando utilizzi il protocollo carp / failover tra due device, in una rete dove ci sono altri device che richiedono il NAT, il "do no NAT" è necessario al protocollo carp quando il device di backup entra in funzione, altrimenti la rete non funziona
più chiaro di così si muore

Questo è come da guida e l'avevo letto;
tuttavia mi son trovato un apparato che utilizza questo particolare flag in una casista assolutamente differente da quella descritta, il bello/brutto è che pare sia fondamentale per il funzionamento del tutto, ma non ne capisco a fondo il motivo; ecco il perché di questa domanda

kiokoman

il protocollo SIP usato nel voip è un altro esempio
https://support.huawei.com/enterprise/en/doc/EDOC1000079719/ee8b2d47/after-outbound-nat-is-configured-and-then-disabled-on-an-ar-router-s-public-network-interface-a-sip-user-cannot-be-registered-how-do-i-solve-this-problem
https://www.reddit.com/r/PFSENSE/comments/2lpvy6/i_just_got_schooled_in_outbound_nat/

per i server ntp ho disabilitato il nat

di che device si tratta?

X-Falko

@kiokoman: Innanzitutto grazie per i link, un po' di approfondimento è quello che cercavo :)

Nel mio caso si tratta di una pfSense utilizzata come router/firewall principale in una azienda.
Avendolo riconfigurato praticamente da zero, questa opzione è il residuo della vecchia conf che trovai ai tempi, che però non è usata per PBX o simili, ma semplicemente da un ambito di rete all'altro (ad esempio: Intranet -> DMZ || Client -> Intranet).

Questo mi fa pensare che "do-not-NAT" sia servita per abbreviare le rotte e fare in modo che il traffico giri esattamente da una porta verso l'altra, ad es: client -> mail,
ed effettivamente queste regole la trovo in alto, seguite dalle altre di Outbound NAT.

Questa mia confusione è ciò che ha creato il bisogno di capire cosa faccia nello specifico quella regola, anche per capire come sfruttarla al meglio :)

fabio.vigano

Ciao,
Serve esattamente per caso come quello che hai citato.
Se vuoi che tra due sottoreti normalmente nattate l'ip di un particolare dispositivo debba transitare senza mascheramento allora usi quel flag.
Di fatto impone al sistema di fare solo routing in quel particolare caso.
Non so se sono riuscito a farmi capire
Ciao Fabio

X-Falko

@fabio-vigano said in Dubbio sull'utilizzo della funziona "do not NAT" (OutBound NAT):

Ciao,
Serve esattamente per caso come quello che hai citato.
Se vuoi che tra due sottoreti normalmente nattate l'ip di un particolare dispositivo debba transitare senza mascheramento allora usi quel flag.
Di fatto impone al sistema di fare solo routing in quel particolare caso.
Non so se sono riuscito a farmi capire
Ciao Fabio

Spiegazione chiarissima: quello che mi sfuggiva, è che pfSense per gli "outbound NAT" applica il "masquerate" in default e quel flag semplicemente lo disattiva.

...banale: ma non l'avevo afferrato.

Un Grazie a tutti!