Khi thử nghiệm Zscaler POC (từ góc độ bảo mật), tôi đã gặp khó khăn để hiểu làm thế nào CGNAT được định tuyến trên máy khách.
Mối quan tâm chính của tôi (và câu hỏi) là tuyến đường 100.64.x.y không có trong bảng định tuyến (Windows 10). Cổng mặc định nằm trên cổng mạng cục bộ của tôi để lưu lượng truy cập cũng không thể đến đó.
Điều gì đặc biệt về cách lưu lượng CGNAT được định tuyến?
Bảng định tuyến trên máy khách là
Các tuyến hoạt động:
Số liệu giao diện cổng mặt nạ mạng đích
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.107 50
127.0.0.0 255.0.0.0 Trên liên kết 127.0.0.1 331
127.0.0.1 255.255.255.255 Trên liên kết 127.0.0.1 331
127.255.255.255 255.255.255.255 Trực tuyến 127.0.0.1 331
172.22.208.0 255.255.240.0 Trực tuyến 172.22.208.1 271
172.22.208.1 255.255.255.255 Trực tuyến 172.22.208.1 271
172.22.223.255 255.255.255.255 Trực tuyến 172.22.208.1 271
192.168.43.0 255.255.255.0 Trực tuyến 192.168.43.107 306
192.168.43.107 255.255.255.255 Trực tuyến 192.168.43.107 306
192.168.43.255 255.255.255.255 Trực tuyến 192.168.43.107 306
224.0.0.0 240.0.0.0 Trên liên kết 127.0.0.1 331
224.0.0.0 240.0.0.0 Trên liên kết 192.168.43.107 306
224.0.0.0 240.0.0.0 Trên liên kết 172.22.208.1 271
255.255.255.255 255.255.255.255 Trực tuyến 127.0.0.1 331
255.255.255.255 255.255.255.255 Trực tuyến 192.168.43.107 306
255.255.255.255 255.255.255.255 Trực tuyến 172.22.208.1 271
Dưới đây là độ phân giải của dịch vụ nội bộ công ty được thiết lập trên zscaler (và do đó được định tuyến qua CGNAT). Cùng tên bên ngoài zscaler trỏ đến một địa chỉ RFC1918 cổ điển.
> nslookup internalcorporatesite.com
Máy chủ: xxx.com
Địa chỉ: 192.168.43.1
Câu trả lời không có thẩm quyền:
Tên: internalcorporatesite.com
Địa chỉ: 100.64.1.9
Xin lưu ý rằng cổng mặc định 192.168.43.1 không biết gì về CGNAT - đó là một mạng cục bộ và CGNAT được sử dụng bởi zscaler.
