Când am testat un POC Zscaler (din punct de vedere al securității), mi-a fost greu să înțeleg cum CGNAT este direcționat către client.
Principala mea preocupare (și întrebarea) este aceea ruta 100.64.x.y nu este în tabelul de rutare (Windows 10). Gateway-ul implicit este pe gateway-ul meu local, astfel încât traficul să nu poată ajunge nici acolo.
Ce are special modul în care este direcționat traficul CGNAT?
Tabelul de rutare de pe client este
Rute active:
Network Destination Netmask Gateway Interfață Metrica
0.0.0.0 0.0.0.0 192.168.43.1 192.168.43.107 50
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.22.208.0 255.255.240.0 On-link 172.22.208.1 271
172.22.208.1 255.255.255.255 On-link 172.22.208.1 271
172.22.223.255 255.255.255.255 On-link 172.22.208.1 271
192.168.43.0 255.255.255.0 On-link 192.168.43.107 306
192.168.43.107 255.255.255.255 On-link 192.168.43.107 306
192.168.43.255 255.255.255.255 On-link 192.168.43.107 306
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.43.107 306
224.0.0.0 240.0.0.0 On-link 172.22.208.1 271
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.43.107 306
255.255.255.255 255.255.255.255 On-link 172.22.208.1 271
Mai jos este rezoluția unui serviciu corporativ intern care este configurat pe zscaler (și, prin urmare, direcționat prin CGNAT). Același nume din afara zscaler indică o adresă RFC1918 clasică.
> nslookup internalcorporatesite.com
Server: xxx.com
Adresa: 192.168.43.1
Răspuns neautorizat:
Nume: internalcorporatesite.com
Adresa: 100.64.1.9
Vă rugăm să rețineți că gateway-ul implicit 192.168.43.1 nu are cunoștințe despre CGNAT - este o rețea locală și CGNAT este folosit de zscaler.
