-
NAT - Externo
Olá pessoal pesquisei bstante na web e ate em alguns livros mas nao consegui achar nada concreto entao gostaria de uma ajuda de vcs, estamos trocando o firewall da empresa do pf para o iptables mais precisamente, mas o nat antigo em pf estava da seguinte forma:
todos da LAN saiam pelo ip_publico 200.xxx.xxx.123 que é o primeiro da minha range.
porem tem um NAT EXTERNO que e feito pelo ultimo ip da minha range 200.xxx.xxx.200 das minhas maquinas da rede interna se vou la no site meu IP esta com o ip 200.xxx.xxx.123 mas o reverso dele esta o 200.xxx.xxx.200.
Voces saberiam me dizer o pq disso e se tem alguma vantagem fazer o NAT desta forma.
Desde já agradeço!
-
Cadori,
Acredito que você nao tenha sido muito claro na sua dúvida.
Vamos por parte.
Temos dois conceitos: NAT e DNS Reverso (RR PTR)
O fato de seus clientes sairem com o IP 123 ou 200 é uma escolha que voce pode fazer utilizando o target SNAT do iptables e não MASQUERADE.
i.e: iptables -t nat -A POSTROUTING -o ethX -s 192.168.0.0/16 -j SNAT --to 200.xxx.xxx.123
ou
iptables -t nat -A POSTROUTING -o ethX -s 192.168.0.0/16 -j SNAT --to 200.xxx.xxx.200
Desde que os dois endereços IPs estejam fisicamente no servidor, independente de ser primário ou secundário (alias).
Com relação ao reverso, é assunto independente. Não entendi o que voce quis dizer com "no site meu IP esta com o ip 200.xxx.xxx.123 mas o reverso dele esta o 200.xxx.xxx.200" pois uma coisa não tem nada a ver com a outra. Se voce definiu o IP 123, no site meuip ele irá tentar realizar um lookup reverso nesse IP.
Abraco,
Fabio
-
NAT - Externo
Olá Fabio primeiramente obrigado pela atenção bom vamos la vou tentar ser mais claro, o NAT da minha rede interna para minha rede externa esta feito e funcionando perfeitamente, mas todos da rede interna saem com o mesmo IP(publico).
Porém com o meu antigo firewall:
da maquina_x (rede interna) eu saia para a rede externa com ip_x (que sempre era o primeiro da minha range de ips publicos).
ja da maquina_y (rede interna) eu saia para a rede externa com ip_y (que sempre era o ultimo da minha range de ips publicos).
E notei q la no meu server de DNS o reverso do meu firewall é o ultimo IP publico da minha range no caso ali em cima seria o ip_y.
A dúvida:
é interessante fazer como estava sendo feito (distribuicao de ips publicos dinamicamente)?
e o REVERSO do firewall teria mesmo que ser feito pelo Ultimo da faixa?
volto a agradecer!!!!!!
