Professional Documents
Culture Documents
Que criará o chain chamado intra-inter na tabela nat. Para inserir regras neste chain será necessário especificar a
opção "-t nat".
A configuração do servidor Linux está completa, agora os clientes da rede precisarão ser configurados para usar o
endereço IP do servidor Linux como gateway. É recomendável instalar um servidor proxy e DNS na máquina Linux
para acelerar o desempenho das requisições/resolução de nomes das máquinas em rede. A utilização de bits TOS
também pode trazer um grande aumento de velocidade para os diferentes serviços da rede (veja
[#s-fw-iptables-mangle-TOS Especificando o tipo de serviço, Seção 10.5.1]).
Guia foca Linux/Avançado/Firewall iptables/A tabela nat (Network Address Translation) - fazendo nat 2
Os pacotes indo para a Internet (nossa conexão é feita via eth1, nossa interface externa) vindo do endereço
192.168.1.2, são substituídos por 200.241.200.40 e enviados para fora. Quando a resposta a requisição é retornada, a
máquina com iptables recebe os pacotes e faz a operação inversa, modificando o endereço 200.241.200.40
novamente para 192.168.1.2 e enviando a resposta a máquina de nossa rede interna. Após definir suas regras de
NAT, execute o comando echo "1" >/proc/sys/net/ipv4/ip_forward para habilitar o suporte a redirecionamento de
pacotes no kernel. Também é possível especificar faixas de endereços e portas que serão substituídas:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50
Modifica o endereço IP de origem de todas as máquinas da rede 192.168.1.0/24 que tem o destino a interface eth0
para 200.241.200.40 a 200.241.200.50. O endereço IP selecionado é escolhido de acordo com o último IP alocado.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50:1-1023
Idêntico ao anterior, mas faz somente substituições na faixa de portas de origem de 1 a 1023.
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 200.200.217.40-200.200.217.50 --to 200.200.217.70-200.200.217.73
A diferença é que o alvo é -j MASQUERADE. O comando acima faz IP Masquerading de todo o tráfego de
192.168.1.2 indo para a interface ppp0: O endereço IP dos pacotes vindos de 192.168.1.2 são substituídos pelo IP
oferecido pelo seu provedor de acesso no momento da conexão, quando a resposta é retornada a operação inversa é
realizada para garantir que a resposta chegue ao destino. Nenhuma máquina da internet poderá ter acesso direto a sua
máquina conectava via Masquerading. Para fazer o IP Masquerading de todas as máquinas da rede 192.168.1.*:
Após definir a regra para fazer Masquerading (SNAT), execute o comando echo "1" >/proc/sys/net/ipv4/ip_forward
para habilitar o suporte a redirecionamento de pacotes no kernel.
Também é possível especificar faixas de endereços e portas que serão substituídas no DNAT:
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT --to 200.200.217.40-200.200.217.50
Idêntico ao anterior, mas faz somente substituições na faixa de portas de destino de 1024 a 5000. A operação acima é
a mesma realizada pelo ipmasqadm dos kernels da série 2.2. OBS1: Se por algum motivo não for possível mapear
uma conexão NAT, ela será derrubada. OBS2: Não se esqueça de conferir se o ip_forward está ajustado para 1: echo
"1" >/proc/sys/net/ipv4/ip_forward.
Redireciona as conexões indo para a porta 80 para a porta 81 (rodando squid) no firewall. ATENÇÃO: O squid
possui suporte a proxy transparente, e poderá atender as requisições acima da regra acima.
Licença
Creative Commons Attribution-Share Alike 3.0 Unported
http:/ / creativecommons. org/ licenses/ by-sa/ 3. 0/