[FUG-BR] IPNAT vs Traceroute
Otavio Augusto
otavioti em gmail.com
Sexta Junho 24 17:27:42 BRT 2016
Em 24 de junho de 2016 17:17, Márcio Elias <marcioelias em gmail.com> escreveu:
> Então, eu faço assim:
>
> map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
> map INTF ip-privado -> ip-publico
>
> Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
> portas, e demais protocolos na regra abaixo.
>
> Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
> utilizando uma terceira regra para o restante, mais o resultado é o mesmo!
>
> On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto <otavioti em gmail.com> wrote:
>
>> Em 24 de junho de 2016 15:33, Márcio Elias <marcioelias em gmail.com>
>> escreveu:
>> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
>> >
>> > Configurei um servidor com vários IP's públicos para atender a muitos
>> > clientes (uma espécie de CGNat para o ISP que trabalho).
>> >
>> > Setei um range de portas TCP/UDP para cada IP privado, para poder
>> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
>> > quase tudo.
>> >
>> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
>> > retornam a interface com o IP privado atras do NAT, chegam na interface
>> > pública mais não são traduzidos corretamente.
>> >
>> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
>> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
>> > timeout nos demais e finalmente recebo o retorno do último hop, já que
>> esse
>> > não é um TTL Exceeded.
>> >
>> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
>> sério
>> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
>> >
>> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
>> > dar um auxilio?
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Quando vc setá um range de portas para cada ip invalido vc taz nat de
>> tcp e udp agora vc precisa de uma regra para icmp.
>> Coloque uma regra única de icmp para cada ip publico fazendo nat para
>> os ips que devem sair por este ip.
>>
>> --
>> Otavio Augusto
>> ---------------------
>> Consultor de TI
>> Citius Tecnologia
>> 31 37761866
>> 31 88651242
>> http://www.citiustecnologia.com.br
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Esperimenta colcoarr estes ips validos em uma interface loopback .
--
Otavio Augusto
---------------------
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
Mais detalhes sobre a lista de discussão freebsd