Как правильно настроить NAT?

Question

[HawK]

Недавно обратил внимание, что в конфигурации по-умолчанию MikroTik добавляет правило в /ip firewall nat, в котором в качестве параметра указывается out interface смотрящий в сторону провайдера, такие же настройки приведены в многочисленных мануалах. При использовании нескольких провайдеров маскарадинг удобнее прописать для локальных src. address одним правилом, без указания out interface. Есть ли какие-то различия в механизмах работы этих правил маскарадинга? Почему в конфигурации по-умолчанию не создается правило маскарадинга для src. address=192.168.88.0/24, а создается правило с указанием out interface?

Answer 1

[Клёвый Админ]

Потомо что в случае использования диапазона и маскироваться будет весь трафик от диапазона, что не всегда требуется (например если рядом есть какой либо туннель, трафик в него из локальной сети можно не маскировать).
Точно так же если WiFi будет отдельной сетью или появится Vlan.

Да, в общем, полно ситуаций когда избыточность правила маскировки будет играть злую шутку от незнания.

Алсо, отмечу, что создания хоть двух хоть десяти, но конкретных узких правил не нагрузит (от слова почти никак) процессор устройства, нежели одно, но обрабатывающее весь поток трафика.

Comments

[HawK]

С другой стороны, здесь можно часто увидеть вопросы на тему недоступности удаленных сетей через туннели из-за недостаточности правил маскировки. Нагрузка процесса firewall при 60000 p/s одинаковая в обоих случаях, пакеты в пределах одной сети не обрабатываются правилами NAT. ИМХО, если различий больше нет, это скорее вопрос предпочтений в конкретных ситуациях и оба варианта, как и другие имеют свои области применения. В моем случае WAN-интерфейсов много и они часто меняются, а локальные и впн-подсети постоянные, поэтому удобнее осуществлять трансляцию на основе src. address, а производительности железа более чем достаточно, чтобы разруливать доступность одних сетей для других с помощью /ip firewall filter.

[Клёвый Админ]

HawK: в пределах одной сети пакеты вообще на шлюз не попадают, а вот всё что попадает на шлюз в во втором подходе будет обрабатываться правилами NAT, которые куда более ресурсоёмкие чем просто файрвол. Когда у вас много WAN интерфейсов правильнее создать Interface list и создать одно правило для него. Маскировать трафик по диапазону локальной сети дурное занятие, которое не имеет противопоказаний "в лоб", но сыграет дурную шутку если его не учитывать в будущем. Это как ходить с заряженным ружьем снятым с предохранителя, это же просто подход и вкусовщина, кому-то нравится разряжать и ставить на предохранитель, кому-то нет, ведь нет же разницы =)

[Александр Романов]

HawK: Комментарий Евгений Быченко правильный. В случае с адрес-листами ваших внутренних сетей, при маршрутизации траффика из одной в другую будет происходить НАТ, и в сетке назначения все запросы будут видеться от адреса маршрутизатора. Поэтому создайте интерфейс-лист ваших WAN-интерфейсов и подставьте его в единственное правило masquerade в out interface list. Тогда между вашими внутренними сетями останется чистая маршрутизация, а наружу всё будет src-nat'иться

[HawK]

Евгений Быченко: Александр Романов: Раньше как-то не придавал значения тому, что локалки у меня через NAT взаимодействуют, так исторически сложилось, зато никаких проблем с доступностью сетей не было) Впрочем, оно и не мешает, хотя, конечно, нужно все перенастраивать, в соответствии с вашими рекомендациями.
Спасибо за ваши исчерпывающие ответы, помогли разобраться в этих тонкостях.