Dhcp y NAT

Una “combinación” curiosa con daños colaterares, a saber, una oficina pequeña, router configurado para hacer de relay dhcp (ip helper address) contra un servidor. En esa oficina “residen” elementos importantes asi que, por imposición divina querian salir a internet sin ningún tipo de restricciones.

Señor, si señor, regla al canto, desde esa oficina any hasta el infinito (aunque da igual, el smartdefense no les va a dejar usar el messenger, pero bueno).
A los dos dias, encienden un equipo nuevo y no les da ip… (48 horas es el tiempo que tenemos de expiración de ips), 🙂
En el firewall se veian los paquetes denegados con el error “connection contains real ip of a nated address”, lo raro del caso es que no marcaba la regla de nat que le afectaba, ni las ips trasladadas.
Con el sniffer se veia que el paquete que viene del router se trasladaba con la ip pública del firewall y luego, la vuelta era la que paraba… curioso.
Moraleja:
– No pongas redes enteras en las reglas de NAT o pon una regla de no traslacion entre las redes locales.
– Nunca hagas caso a los usuarios … :).
Es raro que, un paquete que tiene que rutarse entre dos patas que no tienen ip pública se traslade usando la ip del interfaz público, se rute hacia dentro (hacia el servidor dhcp), este se lo devuelva, el firewall vuelva a deshacer el nat (hide) y entonces se de cuenta de lo que ha hecho y pare el paquete… 🙂 ). Hay veces que no entiendo nada…

Comments are closed.