[FUG-BR] IPNAT vs Traceroute
Eduardo Schoedler
listas em esds.com.br
Sexta Junho 24 18:17:33 BRT 2016
Em 24 de junho de 2016 15:53, Otavio Augusto <otavioti em gmail.com> escreveu:
> Em 24 de junho de 2016 15:33, Márcio Elias <marcioelias em gmail.com> escreveu:
>> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
>>
>> Configurei um servidor com vários IP's públicos para atender a muitos
>> clientes (uma espécie de CGNat para o ISP que trabalho).
>>
>> Setei um range de portas TCP/UDP para cada IP privado, para poder
>> identificar usuários caso necessário e tudo funcionou muito bem, alias,
>> quase tudo.
>>
>> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
>> retornam a interface com o IP privado atras do NAT, chegam na interface
>> pública mais não são traduzidos corretamente.
>>
>> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
>> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
>> timeout nos demais e finalmente recebo o retorno do último hop, já que esse
>> não é um TTL Exceeded.
>>
>> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério
>> nesses tipos de conexões, mais gostaria muito de solucionar isso.
>>
>> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
>> dar um auxilio?
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.
Márcio,
Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex:
GRE, ESP, AH, L2TP, etc...
Faça uma regra final considerando o NAT do restante todo.
Att,
--
Eduardo Schoedler
Mais detalhes sobre a lista de discussão freebsd