Detalhes

Categoria: Como fazer configurações

Atualização: Quinta, 01 Janeiro 2009 03:06

Autor: vovó Vicki

Acessos: 10245

NAT e Filtros de Pacotes

É comum fazer NAT (Network Address Translation - Tradução de Endereços de Rede) junto com filtragem de pacotes. A boa notícia é que eles se dão muito bem! Para maiores detalhes sobre a NAT, leia o tutorial NAT HOWTO.

Prepare seus filtros de pacotes e deixe de lado qualquer NAT que estiver fazendo. As origens e destinos vistos pelo filtro de pacotes serão origens e destinos 'reais'. Por exemplo, se você estiver usando DNAT para enviar qualquer conexão para a porta 80 de 1.2.3.4 e daí para a porta 8080 de 10.1.1.1, o filtro de pacotes veria apenas pacotes indo para a porta 8080 de 10.1.1.1 (o destino real) e não a porta 80 de 1.2.3.4. Da mesma forma pode-se ignorar as máscaras: vai parecer que os pacotes chegam dos seus endereços IP internos reais (digamos 10.1.1.1) e que as respostas voltam para lá.

Pode-se usar a extensão 'state' sem que o filtro de pacotes fique sobrecarregado porque a NAT exige o rastreamento de conexões (connection tracking) de qualquer forma. Para impedir que novas conexões cheguem através da interface ppp0, faça o seguinte:

    # Masquerade out ppp0
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    # Disallow NEW and INVALID incoming or forwarded packets from ppp0.
    iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
    iptables -A FORWARD -i ppp0 -m state --state NEW,INVALID -j DROP

    # Turn on IP forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward