+ Responder ao Tópico



  1. #1

    Padrão NAT - Externo

    Olá pessoal pesquisei bstante na web e ate em alguns livros mas nao consegui achar nada concreto entao gostaria de uma ajuda de vcs, estamos trocando o firewall da empresa do pf para o iptables mais precisamente, mas o nat antigo em pf estava da seguinte forma:

    todos da LAN saiam pelo ip_publico 200.xxx.xxx.123 que é o primeiro da minha range.
    porem tem um NAT EXTERNO que e feito pelo ultimo ip da minha range 200.xxx.xxx.200 das minhas maquinas da rede interna se vou la no site meu IP esta com o ip 200.xxx.xxx.123 mas o reverso dele esta o 200.xxx.xxx.200.

    Voces saberiam me dizer o pq disso e se tem alguma vantagem fazer o NAT desta forma.



    Desde já agradeço!

  2. #2

    Padrão

    Cadori,

    Acredito que você nao tenha sido muito claro na sua dúvida.
    Vamos por parte.
    Temos dois conceitos: NAT e DNS Reverso (RR PTR)
    O fato de seus clientes sairem com o IP 123 ou 200 é uma escolha que voce pode fazer utilizando o target SNAT do iptables e não MASQUERADE.

    i.e: iptables -t nat -A POSTROUTING -o ethX -s 192.168.0.0/16 -j SNAT --to 200.xxx.xxx.123
    ou
    iptables -t nat -A POSTROUTING -o ethX -s 192.168.0.0/16 -j SNAT --to 200.xxx.xxx.200

    Desde que os dois endereços IPs estejam fisicamente no servidor, independente de ser primário ou secundário (alias).

    Com relação ao reverso, é assunto independente. Não entendi o que voce quis dizer com "no site meu IP esta com o ip 200.xxx.xxx.123 mas o reverso dele esta o 200.xxx.xxx.200" pois uma coisa não tem nada a ver com a outra. Se voce definiu o IP 123, no site meuip ele irá tentar realizar um lookup reverso nesse IP.

    Abraco,

    Fabio

  3. #3

    Padrão NAT - Externo

    Olá Fabio primeiramente obrigado pela atenção bom vamos la vou tentar ser mais claro, o NAT da minha rede interna para minha rede externa esta feito e funcionando perfeitamente, mas todos da rede interna saem com o mesmo IP(publico).

    Porém com o meu antigo firewall:

    da maquina_x (rede interna) eu saia para a rede externa com ip_x (que sempre era o primeiro da minha range de ips publicos).

    ja da maquina_y (rede interna) eu saia para a rede externa com ip_y (que sempre era o ultimo da minha range de ips publicos).

    E notei q la no meu server de DNS o reverso do meu firewall é o ultimo IP publico da minha range no caso ali em cima seria o ip_y.

    A dúvida:

    é interessante fazer como estava sendo feito (distribuicao de ips publicos dinamicamente)?
    e o REVERSO do firewall teria mesmo que ser feito pelo Ultimo da faixa?


    volto a agradecer!!!!!!