boa pergunta!
Versão Imprimível
boa pergunta!
Na verdade, em ambos os casos vc pode ter algum nivel de segurança. Depende de como vc faz a regra... Ex:
Vc tem um web server e queria que esse ws, tivesse um IP valido, usando ai um NAT.
-t nat -A PRE -d 200.200.200.1 -p tcp --dport 80 -j DNAT 192.168.0.10
-t nat -A OUT -s 192.168.0.10 -p tcp --sport 80 -j SNAT 200.200.200.1
Nesses casos, aonde vc tem alguns IPs disponiveis numa mesma interface e vai fazer NAT vc sempre especifica o IP valido e o privado. Vc pode fazer a regra sem especificar a porta e protocolo e ai fica 'transparente'. Usando mascarade, vc tem um pouco mais de segurança so em relacao a um nat 1:1, nesse exemplo o nat e tao seguro quanto o mascarade.
Felco, estou utilizando mikrotik como router, a regra implementada é a seguinte:
/ip firewall nat
add action=masquerade chain=srcnat comment="Regra Basica NAT" disabled=no
regra básica das básicas, a questão é se há algum tipo de segurança nessa regra, e se implementar por exemplo o ip 200.200.200.199/28, ele vai passar direto pelo mikrotik?
Grato pela atenção de todos.
Nao conheco o mikrotik... mas imagino que essa regra se refira a saida do trafego pelo seu firewall, tudo oque sai tem sua origem modificada para receber um IP valido. No geral, se vc distribui a internet por esses metodos, toda a sua rede atras do firewall tem o mesmo IP, interessante de usar uma so maquina e varios IPs, e que nenhuma maquina atras do firewall vai realmente estar 'aberta' para fora. Voce faz um NAT e direciona trafegos especificos para IPs especificos em portas espeficicas, usando IPs variados ou seja, nenhuma maquina na rede tem IP apenas o firewall, e ainda podera usar um IP especifico para fazer o mascarade geral e enquanto outros servicos ficariam em outros IPs, protegendo seu firewall com um IP desconhecido, assim ele nunca seria alvo por nao se saber o IP.
Mas em relacao ao que vc quer fazer, a unica maneira de atribuir IPs validos é fazendo NAT. Caso contrario só via roteador, ai no caso nao sei qual o seu, mas de qualquer maneira, se vc é assinante de um servico IP e tem mais de um IP disponivel vc pode contactar seu provedor e customizar sua tabela de roteamente e distribuir esses IPs diretamente. Se vc deixar o firewall recebendo tudo, vc pode usar todos os IPs de uma vez, e ai fazer essa atribuicao 'virtual' de IPs usando NAT, nesse caso as regras variam muito mas basicamente é SNAT/DNAT ainda que defindo portas e/ou protocolo, esse esquema é muito bom e pratico tambem.
Ok Felco e demais, obrigado pela ajuda.