Olá pessoal, Gostaria de esclarecer uma dúvida a respeito do Destination NAT do Iptables.
Seguinte: tenho um servidor DNS respondendo na minha rede, tanto interna quanto externamente, porém, as consultas vindas da internet passam pelo firewall através de um Destination NAT. Esse servidor DNS (Windows Server 2003) possui um recurso chamado "Netmask ordering". Este recurso permite que eu tenha dois hosts (A) com o mesmo nome (ex.: www.dominio.com.br) e IPs diferentes, por exemplo, um IP real para a internet (ex.? 200.1.2.3), e um IP privado para a rede interna (ex.: 192.168.1.15). Quando uma consulta DNS para www.dominio.com.br chega para o servidor, ele sempre responde com os dois endereços, mas responde sempre com o endereço de sub-rede mais próxima de quem requisitou primeiro. Muito bem. Na teoria é muito bonito. Mas vamos á prática. Quando eu faço uma consulta ao servidor DNS dentro da minha rede, ele está respondendo corretamente. # nslookup www.dominio.com.br 192.168.1.99 (IP do servidor DNS) Server: 192.168.1.99 Address: 192.168.1.99#53 Name: www.dominio.com.br Address: 192.168.1.15 Name: www.dominio.com.br Address: 200.1.2.3 Como esperado, a resposta veio com o endereço privado primeiro, e depois o endereço real. Agora, consultando de algum host fora da rede, ou seja, consultas vindas da internet e, portanto, passando pelo firewall, que está fazendo DNAT para o IP de rede do servidor DNS: # nslookup www.dominio.com.br ns1.dominio.com.br Server: ns1.dominio.com.br Address: 200.1.2.3#53 Name: www.dominio.com.br Address: 192.168.1.15 Name: www.dominio.com.br Address: 200.1.2.3 Ou seja, o "feladamãe" respondeu pra internet da mesma forma como ele está respondendo para a rede interna. Agora vamos à minha dúvida: os pacotes encaminhados ao servidor DNS através do DNAT no firewall chega com o IP de origem realmente inalterado? Eu sei que, na teoria, o DNAT substitui apenas o endereço de destino, mas o que eu quero é simplesmente eliminar a possibilidade de que o servidor DNS esteja respondendo incorretamente por causa do firewall, entendem? Portanto, eu agradeceria se alguém com profundos conhecimentos de Iptables/Netfilter pudessem me ajudar. Deixo desde já meus agradecimentos. -- =================== FABRÍCIO L. RIBEIRO =================== [icq: 66770900] [e-mail, gtalk e msn: [EMAIL PROTECTED] [blog: http://opalavrorio.blogspot.com] --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
