SNAT و Auto Map در F5 BIG-IP؛ چه زمانی لازم است و کجا خطر می‌سازد؟

تاریخ انتشار:

SNAT در F5 BIG-IP یکی از تنظیماتی است که خیلی وقت‌ها برای «راه افتادن سریع سرویس» فعال می‌شود، اما اثر معماری آن جدی است. وقتی SNAT یا Auto Map فعال می‌شود، سرور backend به جای IP واقعی کاربر، IP سمت F5 را به عنوان source می‌بیند. این کار مسیر برگشت را ساده می‌کند، ولی همزمان روی لاگ، کنترل امنیتی، rate limit و عیب‌یابی اثر می‌گذارد.

در طراحی تمیز، اول باید مشخص شود backend مسیر برگشت به client را از کجا دارد. اگر سرور می‌تواند پاسخ را از مسیر درست از طریق F5 برگرداند، شاید نیازی به SNAT نباشد. اگر route برگشت مستقیم و خارج از F5 می‌رود، SNAT می‌تواند جلوی asymmetric routing را بگیرد.

Auto Map چه زمانی انتخاب قابل قبول است؟

Auto Map برای سناریوهای ساده و محدود سریع جواب می‌دهد، چون BIG-IP از آدرس Self IP خود برای ترجمه source استفاده می‌کند. اما در ترافیک سنگین، چند tenant، چند VLAN یا جایی که لاگ دقیق لازم است، اتکا به Auto Map می‌تواند مبهم و پرریسک شود. در این حالت SNAT Pool با آدرس‌های مشخص، قابل کنترل‌تر است.

قبل از روشن کردن SNAT چه چیزهایی را ببینیم؟

  • مسیر برگشت: آیا default gateway سرورها F5 است یا مسیر دیگری دارند؟
  • نیاز به IP واقعی کاربر: آیا application، SIEM یا WAF به IP واقعی نیاز دارد؟
  • ظرفیت پورت‌ها: در ترافیک زیاد، تعداد آدرس‌های SNAT و مصرف port مهم می‌شود.
  • لاگ و forensic: اگر source همه درخواست‌ها F5 شود، باید راه جبران در header یا لاگ وجود داشته باشد.
  • تفکیک سرویس‌ها: همه سرویس‌ها نباید بدون فکر از یک مدل SNAT مشترک استفاده کنند.

دستورهای بررسی

tmsh list ltm snatpool
tmsh list ltm virtual /Common/app_vs source-address-translation
tmsh show sys connection cs-server-addr 10.10.10.50

در زمان عیب‌یابی، فقط دیدن Available بودن Virtual Server کافی نیست. باید connection table، مسیر برگشت سرور و لاگ application هم کنار هم دیده شوند.

اشتباه‌های رایج

اولین اشتباه این است که برای هر Virtual Server، Auto Map را پیش‌فرض فعال کنیم. دومین اشتباه این است که بعد از فعال‌سازی SNAT، انتظار داشته باشیم backend هنوز IP واقعی کاربر را در لاگ ببیند. اگر IP واقعی لازم است، باید X-Forwarded-For، لاگ F5، یا طراحی دیگری برای حفظ این داده در نظر گرفته شود.

ارتباط با SSL، WAF و مانیتورینگ

در سرویس‌هایی که پشت SSL offload، ASM/WAF یا reverse proxy دیگر هستند، SNAT باید با کل مسیر دیده شود. یک تغییر کوچک در source address ممکن است rule فایروال، لاگ امنیتی یا محدودیت application را تغییر دهد. برای همین SNAT باید بخشی از طراحی لودبالانسر باشد، نه یک تیک اضطراری.

منابع رسمی

برای جزئیات پیاده‌سازی، مستندات رسمی F5 درباره SNAT، Auto Map و Source Address Translation در BIG-IP LTM باید مرجع نهایی تغییرات باشد.

مطالب مرتبط در شاخه لودبالانسر

برچسبها
,,,,,
مطالب مرتبط
SegmentSmack؛ آسیب‌پذیری TCP در کرنل لینوکس و ریسک DoSSegmentSmack؛ آسیب‌پذیری TCP در کرنل لینوکس و ریسک DoS
2,088 views
عیب‌یابی VPN در Cisco Firepower؛ وقتی Tunnel بالا است اما ترافیک عبور نمی‌کندعیب‌یابی VPN در Cisco Firepower؛ وقتی Tunnel بالا است اما ترافیک عبور نمی‌کند
3 views
عیب‌یابی FortiWeb با لاگ و Request؛ از تشخیص Block تا اصلاح Policyعیب‌یابی FortiWeb با لاگ و Request؛ از تشخیص Block تا اصلاح Policy
1 views
کنترل امنیت شماره ۲۰: تست نفوذ و Red Team؛ آزمون واقعی کنترل‌هاکنترل امنیت شماره ۲۰: تست نفوذ و Red Team؛ آزمون واقعی کنترل‌ها
38 views
امن‌سازی CentOS 7 با CIS؛ نکات مهم بعد از پایان عمرامن‌سازی CentOS 7 با CIS؛ نکات مهم بعد از پایان عمر
3,718 views
طراحی Health Monitor درست در F5 BIG-IP؛ فقط TCP کافی نیستطراحی Health Monitor درست در F5 BIG-IP؛ فقط TCP کافی نیست
33 views

دیدگاهی بنویسید.

بهتر است دیدگاه شما در ارتباط با همین مطلب باشد.