CGNAT 在客户端是如何路由的?

CGNAT 在客户端是如何路由的?

在测试 Zscaler POC(从安全角度来看)时,我很难理解中央国家机关事务管理局在客户端上进行路由。

我主要关心(和疑问)是100.64.xy 路由不在路由表中(Windows 10)。默认网关位于我的本地网络网关上,因此流量也无法到达那里。

CGNAT 流量的路由方式有何特殊之处?

客户端上的路由表是

Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0     192.168.43.1   192.168.43.107     50
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     172.22.208.0    255.255.240.0         On-link      172.22.208.1    271
     172.22.208.1  255.255.255.255         On-link      172.22.208.1    271
   172.22.223.255  255.255.255.255         On-link      172.22.208.1    271
     192.168.43.0    255.255.255.0         On-link    192.168.43.107    306
   192.168.43.107  255.255.255.255         On-link    192.168.43.107    306
   192.168.43.255  255.255.255.255         On-link    192.168.43.107    306
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link    192.168.43.107    306
        224.0.0.0        240.0.0.0         On-link      172.22.208.1    271
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link    192.168.43.107    306
  255.255.255.255  255.255.255.255         On-link      172.22.208.1    271

以下是在 zscaler 上设置的内部公司服务的解析(因此通过 CGNAT 路由)。zscaler 外部的相同名称指向经典的 RFC1918 地址。

> nslookup internalcorporatesite.com
Server:  xxx.com
Address:  192.168.43.1

Non-authoritative answer:
Name:    internalcorporatesite.com
Address:  100.64.1.9

请注意,默认网关192.168.43.1不知道 CGNAT - 它是一个本地网络,并且 CGNAT 由 zscaler 使用。

答案1

它使用过滤驱动程序它从网络堆栈中获取数据包并重定向。因此,zScaler 连接没有虚拟网卡。

使用过滤驱动程序选项,应用程序不会创建虚拟网络适配器。相反,它使用 Windows 过滤来捕获流量并将其转发到云。这样可以更精细地控制流量,还可以减少管理系统上网络适配器的应用程序的互操作性问题。

这也意味着通过 ZPA 的目的地不会出现在路由表中。

zScaler 实际上不使用 CGNAT。它只需要一个地址范围应该没有合法的流量发往它,它可以劫持和重定向,而后果却很小。数据包进入 zScaler 后如何处理基本上是他们的秘密武器。

相关内容