Henrique, obrigado pela atenção! Rapidamente, NAT e mascaramento de pacotes são coisas totalmente distintas.
Pelo que entendi o NAT é configurado por essas linhas abaixo: # Ativa roteamento echo 1 > /proc/sys/net/ipv4/ip_forward na verdade intaum esse roteamento redireciona os pacotes que a interface de rede interna do gateway recebe para a interface de rede externa do gateway. E o gateway pega esses pacotes que estão na sua interface de rede externa e os redireciona para o servidor solicitado (exemplo: um servidor WEB) e o mesmo processo é feito no sentido de volta. Isso acima é o NAT correto??? Pelo que entendi o MASQUERADE(mascaramento dos pacotes) é configurado por essas linhas abaixo: # mascara saida dos pacotes iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Se você quiser mascarar os endereços de origem você deverá usar a linha acima que estará mascarando o NAT que você tem em sua rede e nínguem irá enchergar nem os endereços das estações nem o do default gateway das estações. Só iram enchergar o endereço da minha interface de internet a minha eth0(ip: 200...) Uma questão conceitual do iptables. O Iptables deve ser configurado primeiro para: Barrar tudo e depois permitir o que vc quer ou, Permitir o que vc quer e depois barrar tudo??? Parece-me que o Iptables e o squid tem conceitos diferentes....certo???? um bloqueio primeiro e libera depois......e o outro libera primeiro e bloqueia depois....certo...???? Agora sobre a questão do NAT estar habilitado em minha rede pelo que entendi do que vc me explicou é que; A forma que eu devo utilizar do NAT é a seguinte: 1.) habilito o NAT 2.) Libero o que preciso (25 e 110) 3.) Mascaro a saida dos pacotes 4.) Bloqueio tudo dessa forma acima só será feito o NAT dos pacotes de POP3 e 110 ...certo...???? Obrigado pela ajuda e paciência. tks ;-> Em 09/07/07, henrique <[EMAIL PROTECTED]> escreveu:
--- Marcelo Castilho Manzano <[EMAIL PROTECTED]<manzano.marcelo%40gmail.com>> escreveu: > Gente, tenho um pouco de dificuldade pra conceituar/diferenciar NAT e > FORWADING. > Alguém poder nos dar uma pincelada sobre o que é cada um.. > abraço Olá, Marcelo. NAT - maiores informacoes: http://www.abusar.org/nat.html http://pt.wikipedia.org/wiki/NAT portforwarding - maiores informacoes: http://pt.wikipedia.org/wiki/Port_forwarding agora, sobre o post que vc enviou pra dup, aquilo é apenas uma regra da cadeia forward da sua NAT. :D :D :D naquele caso, como a sua politica de forward deve ser accept, e como eu não vi nenhuma linha mais abaixo bloqueando os outros pacotes forwards que não fossem dos serviços da porta 25 e da 110, nem faria diferença tirar ou colocar aquelas duas linhas de forward que vc colocou lá. agora, se você retirar o roteamento (uma interface de rede não "conversa" com a outra) e se voce retirar o nat, nem adiantaria você ter aquelas linhas de forward. Nat é usado qdo temos um ip de saida e uma rede inteira atras dele. É meio raro encontrar hoje em dia quem possua uma rede inteira de ips reais. Se você tivesse uma rede toda de ips reais, não precisaria fazer a linha de masquerade(nat), apenas a linha do "echo" para ativar o roteamento (eu recomendaria voce usar o sysctl, por elegancia e padronização) e as linhas do forward. Todas as requisições neste caso iriam sair com o ip da estação e não do seu servidor. No caso da nat, como soh existe um ip real, todas as requisicoes das estacoes sairiam com o ip do servidor. (logicamente que vc teria que dar uma linha negando os outros forwards, a menos que a sua politica de forward seja DROP.) se a sua rede necessita acessar o serviço pop3 (porta 110) e smtp(porta 25) de fora da rede e nenhum outro mais, nem proxy transparente, e nem navegar na net se proxy, voce pode tranquilamente fazer o seguinte: #ativa nat MASCARAMENTO=1 #serviços para fazer nat/roteamento SERVICOS="25 110" #interface(s) externa(s) IF_OUT="eth1" if [ $MASCARAMENTO == 1 ] sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o $IF_OUT -j MASQUERADE fi for servico in `echo $SERVICOS` do iptables -A FORWARD -p tcp --dport $servico -j ACCEPT done #uma das duas agora. Ou você define a politica forward como DROP, #ou você adiciona uma regra negando todos os forwards não liberados #explicitamente acima. #estas duas, iptables -A FORWARD -j LOG --log-prefix "FORWARD BARRADO " iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited #ou apenas esta: iptables -P FORWARD -j DROP Se você não tiver uma destas duas opcões, você tera o que chamamos de "nat escancarada", onde coisas mto estranhas acontecem. rsssssss (Se você parar para pensar bem, o squid faz nat tbm. Porque todas as maquinas da sua rede vão acessar a net, e os pacotes vão sair marcados como sendo do ip real do servidor. Então, a menos que você nao tenha necessidade de outra coisa a não ser ler email via webmail e acessar pagina da net, a gente recomenda vc não fazer nat no firewall.) portforwarding é quando o seu servidor de email, ou o seu servidor de paginas http, por ex(ou qualquer outra coisa) , está hospedado em uma máquina com ip falso, e o mundo lá fora precisa acessa-la (e isto tem que ser feito a partir de um ip real). geralmente não vemos isso todos os dias. :D qualquer coisa, mail-nos. [ ]s, Henry. __________________________________________________________ Novo Yahoo! Cadê? - Experimente uma nova busca. http://yahoo.com.br/oqueeuganhocomisso __._,_.___ Mensagens neste tópico <http://br.groups.yahoo.com/group/squid-br/message/22205;_ylc=X3oDMTM2ZGlzb2FzBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BG1zZ0lkAzIyMjIzBHNlYwNmdHIEc2xrA3Z0cGMEc3RpbWUDMTE4Mzk2NDgzMwR0cGNJZAMyMjIwNQ-->( 0) Responder (através da web) <http://br.groups.yahoo.com/group/squid-br/post;_ylc=X3oDMTJxYzM0cDZmBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BG1zZ0lkAzIyMjIzBHNlYwNmdHIEc2xrA3JwbHkEc3RpbWUDMTE4Mzk2NDgzMw--?act=reply&messageNum=22223>| Adicionar um novo tópico <http://br.groups.yahoo.com/group/squid-br/post;_ylc=X3oDMTJldjQ5dDMyBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA250cGMEc3RpbWUDMTE4Mzk2NDgzMw--> Mensagens<http://br.groups.yahoo.com/group/squid-br/messages;_ylc=X3oDMTJlaWpuNDVrBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA21zZ3MEc3RpbWUDMTE4Mzk2NDgzMw-->| Arquivos<http://br.groups.yahoo.com/group/squid-br/files;_ylc=X3oDMTJmc29xNWFlBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2ZpbGVzBHN0aW1lAzExODM5NjQ4MzM->| Fotos<http://br.groups.yahoo.com/group/squid-br/photos;_ylc=X3oDMTJlOXQ5ZGY1BF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA3Bob3QEc3RpbWUDMTE4Mzk2NDgzMw-->| Links<http://br.groups.yahoo.com/group/squid-br/links;_ylc=X3oDMTJmbHNuMThkBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2xpbmtzBHN0aW1lAzExODM5NjQ4MzM->| Banco de dados<http://br.groups.yahoo.com/group/squid-br/database;_ylc=X3oDMTJjdTRpbXJmBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2RiBHN0aW1lAzExODM5NjQ4MzM->| Enquetes<http://br.groups.yahoo.com/group/squid-br/polls;_ylc=X3oDMTJmNm8waGdnBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA3BvbGxzBHN0aW1lAzExODM5NjQ4MzM->| Associados<http://br.groups.yahoo.com/group/squid-br/members;_ylc=X3oDMTJlZWFhdGZ2BF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA21icnMEc3RpbWUDMTE4Mzk2NDgzMw-->| Agenda<http://br.groups.yahoo.com/group/squid-br/calendar;_ylc=X3oDMTJkOXMwMWhtBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2NhbARzdGltZQMxMTgzOTY0ODMz> Enviar mensagem: [EMAIL PROTECTED] Assinar: [EMAIL PROTECTED] Cancelar assinatura: [EMAIL PROTECTED] Proprietário da lista: [EMAIL PROTECTED] [image: Yahoo! Grupos]<http://br.groups.yahoo.com/;_ylc=X3oDMTJkaTQ5cG04BF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2dmcARzdGltZQMxMTgzOTY0ODMz> Alterar configurações via web<http://br.groups.yahoo.com/group/squid-br/join;_ylc=X3oDMTJmY2hsaWZlBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA3N0bmdzBHN0aW1lAzExODM5NjQ4MzM->(Requer Yahoo! ID) Alterar configurações via e-mail: Alterar recebimento para lista diária de mensagens<[EMAIL PROTECTED]:+Lista+de+mensagens>| Alterar formato para o tradicional<[EMAIL PROTECTED]:+Tradicional> Visite seu Grupo <http://br.groups.yahoo.com/group/squid-br;_ylc=X3oDMTJkYXIyOXJoBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwNmdHIEc2xrA2hwZgRzdGltZQMxMTgzOTY0ODMz>| Termos de uso do Yahoo! Grupos <http://br.yahoo.com/info/utos.html> | Sair do grupo <[EMAIL PROTECTED]> Atividade nos últimos dias - 7 Novos usuários<http://br.groups.yahoo.com/group/squid-br/members;_ylc=X3oDMTJmcnBlZ2U5BF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwN2dGwEc2xrA3ZtYnJzBHN0aW1lAzExODM5NjQ4MzM-> Visite seu Grupo <http://br.groups.yahoo.com/group/squid-br;_ylc=X3oDMTJlamozZjlyBF9TAzk3NDkwNDM3BGdycElkAzIyOTQwODYEZ3Jwc3BJZAMyMTM3MTE0NzA1BHNlYwN2dGwEc2xrA3ZnaHAEc3RpbWUDMTE4Mzk2NDgzMw--> Yahoo! Mail Conecte-se ao mundo<http://us.lrd.yahoo.com/_ylc=X3oDMTJscHIzMDVoBF9TAzk3NDkwNDM3BF9wAzEEZ3JwSWQDMjI5NDA4NgRncnBzcElkAzIxMzcxMTQ3MDUEc2VjA25jbW9kBHNsawNtYWlsBHN0aW1lAzExODM5NjQ4MzM-;_ylg=1/SIG=10ujd6ds6/**http%3A//mail.yahoo.com.br/> Proteção anti-spam Muito mais espaço Yahoo! Barra Instale grátis<http://us.lrd.yahoo.com/_ylc=X3oDMTJvZ2Z0bGdhBF9TAzk3NDkwNDM3BF9wAzIEZ3JwSWQDMjI5NDA4NgRncnBzcElkAzIxMzcxMTQ3MDUEc2VjA25jbW9kBHNsawN0b29sYmFyBHN0aW1lAzExODM5NjQ4MzM-;_ylg=1/SIG=111ngvtas/**http%3A//br.toolbar.yahoo.com/> Buscar sites na web Checar seus e-mails . Yahoo! Grupos Crie seu próprio grupo<http://br.groups.yahoo.com/;_ylc=X3oDMTJvZjZvZGFuBF9TAzk3NDkwNDM3BF9wAzMEZ3JwSWQDMjI5NDA4NgRncnBzcElkAzIxMzcxMTQ3MDUEc2VjA25jbW9kBHNsawNncm91cHMyBHN0aW1lAzExODM5NjQ4MzM-> A melhor forma de comunicação . __,_._,___
-- |--------------------------------------------------| | Marcelo Manzano | | Cel.99603104 | | [EMAIL PROTECTED] | |--------------------------------------------------|