Re: [squid-br] Uma questão conceitual !!
Henrique, obrigado pela atenção! Rapidamente, NAT e mascaramento de pacotes são coisas totalmente distintas. Pelo que entendi o NAT é configurado por essas linhas abaixo: # Ativa roteamento echo 1 /proc/sys/net/ipv4/ip_forward na verdade intaum esse roteamento redireciona os pacotes que a interface de rede interna do gateway recebe para a interface de rede externa do gateway. E o gateway pega esses pacotes que estão na sua interface de rede externa e os redireciona para o servidor solicitado (exemplo: um servidor WEB) e o mesmo processo é feito no sentido de volta. Isso acima é o NAT correto??? Pelo que entendi o MASQUERADE(mascaramento dos pacotes) é configurado por essas linhas abaixo: # mascara saida dos pacotes iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Se você quiser mascarar os endereços de origem você deverá usar a linha acima que estará mascarando o NAT que você tem em sua rede e nínguem irá enchergar nem os endereços das estações nem o do default gateway das estações. Só iram enchergar o endereço da minha interface de internet a minha eth0(ip: 200...) Uma questão conceitual do iptables. O Iptables deve ser configurado primeiro para: Barrar tudo e depois permitir o que vc quer ou, Permitir o que vc quer e depois barrar tudo??? Parece-me que o Iptables e o squid tem conceitos diferentescerto um bloqueio primeiro e libera depois..e o outro libera primeiro e bloqueia depoiscerto... Agora sobre a questão do NAT estar habilitado em minha rede pelo que entendi do que vc me explicou é que; A forma que eu devo utilizar do NAT é a seguinte: 1.) habilito o NAT 2.) Libero o que preciso (25 e 110) 3.) Mascaro a saida dos pacotes 4.) Bloqueio tudo dessa forma acima só será feito o NAT dos pacotes de POP3 e 110 ...certo... Obrigado pela ajuda e paciência. tks ;- Em 09/07/07, henrique [EMAIL PROTECTED] escreveu: --- Marcelo Castilho Manzano [EMAIL PROTECTED]manzano.marcelo%40gmail.com escreveu: Gente, tenho um pouco de dificuldade pra conceituar/diferenciar NAT e FORWADING. Alguém poder nos dar uma pincelada sobre o que é cada um.. abraço Olá, Marcelo. NAT - maiores informacoes: http://www.abusar.org/nat.html http://pt.wikipedia.org/wiki/NAT portforwarding - maiores informacoes: http://pt.wikipedia.org/wiki/Port_forwarding agora, sobre o post que vc enviou pra dup, aquilo é apenas uma regra da cadeia forward da sua NAT. :D :D :D naquele caso, como a sua politica de forward deve ser accept, e como eu não vi nenhuma linha mais abaixo bloqueando os outros pacotes forwards que não fossem dos serviços da porta 25 e da 110, nem faria diferença tirar ou colocar aquelas duas linhas de forward que vc colocou lá. agora, se você retirar o roteamento (uma interface de rede não conversa com a outra) e se voce retirar o nat, nem adiantaria você ter aquelas linhas de forward. Nat é usado qdo temos um ip de saida e uma rede inteira atras dele. É meio raro encontrar hoje em dia quem possua uma rede inteira de ips reais. Se você tivesse uma rede toda de ips reais, não precisaria fazer a linha de masquerade(nat), apenas a linha do echo para ativar o roteamento (eu recomendaria voce usar o sysctl, por elegancia e padronização) e as linhas do forward. Todas as requisições neste caso iriam sair com o ip da estação e não do seu servidor. No caso da nat, como soh existe um ip real, todas as requisicoes das estacoes sairiam com o ip do servidor. (logicamente que vc teria que dar uma linha negando os outros forwards, a menos que a sua politica de forward seja DROP.) se a sua rede necessita acessar o serviço pop3 (porta 110) e smtp(porta 25) de fora da rede e nenhum outro mais, nem proxy transparente, e nem navegar na net se proxy, voce pode tranquilamente fazer o seguinte: #ativa nat MASCARAMENTO=1 #serviços para fazer nat/roteamento SERVICOS=25 110 #interface(s) externa(s) IF_OUT=eth1 if [ $MASCARAMENTO == 1 ] sysctl -w net.ipv4.ip_forward=1 iptables -t nat -A POSTROUTING -o $IF_OUT -j MASQUERADE fi for servico in `echo $SERVICOS` do iptables -A FORWARD -p tcp --dport $servico -j ACCEPT done #uma das duas agora. Ou você define a politica forward como DROP, #ou você adiciona uma regra negando todos os forwards não liberados #explicitamente acima. #estas duas, iptables -A FORWARD -j LOG --log-prefix FORWARD BARRADO iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited #ou apenas esta: iptables -P FORWARD -j DROP Se você não tiver uma destas duas opcões, você tera o que chamamos de nat escancarada, onde coisas mto estranhas acontecem. rsss (Se você parar para pensar bem, o squid faz nat tbm. Porque todas as maquinas da sua rede vão acessar a net, e os pacotes vão sair marcados como sendo do ip real do servidor. Então, a menos que você nao tenha necessidade de outra coisa a não ser ler email via webmail e acessar pagina da net, a gente recomenda vc não fazer nat no firewall.) portforwarding é quando o seu servidor de email, ou o seu servidor de
Re: [squid-br] Uma questão conceitual !!
1. Favor não fazer cross posting, se você acha que o assunto é mais apropriado em outra lista, pergunte nela. E se as outras listas responderem favor não postar o conteúdo nesta, os usuários que assinaram esta lista não estão interessados nas respostas dos usuários da outra lista, se estivessem assinariam ela. As vezes fica ridículo a lista receber mensagens Re: Algumacoisa sem nunca ter havido uma pergunta e ainda existir alguém esperando que alguém confirme se o que está escrito (originalmente por alguém que ninguém conhece) está correto. Existem pessoas aqui que assinam mais de uma lista e não há como esconder isso simplesmente alterando os destinatários. 2. Favor não utilizar HTML, as pessoas costumam entender o conteúdo das mensagens mesmo quando elas não estão coloridas e nem todos lêem mensagens em HTML. 3. Favor ler o histórico da thread (ou as mensagens anteriores, onde o assunto foi mudado sabe-se lá porque) antes de perguntar 3 vezes a mesma coisa, às vezes incluindo a resposta no corpo da pergunta. Se a pergunta foi feita em outras listas, não interessa para esta, para esta lista vale o histórico da thread DESTA lista ou o histórico DESTA lista. Pela milésima vez, segue algumas sugestões de conduta para as listas Debian: http://www.debian.org/MailingLists/#codeofconduct Um conjunto de regras de netiqueta que apesar de não ser voltado a esta lista mas sim à debian-rs, mas que eu acho de muito bom senso: http://www.debian-rs.org/sites/www.debian-rs.org/netiqueta.html Provavelmente os usuários da lista não vão ficar reclamando toda hora a respeito disso, se você ainda não entendeu o que acontece, vai entender quando algumas pessoas que poderiam ajudar simplesmente passarem a ignorar estas mensagens. Atenciosamente. Edmundo Valle Neto Marcelo Castilho Manzano escreveu: Henrique, obrigado pela atenção! Rapidamente, NAT e mascaramento de pacotes são coisas totalmente distintas. Pelo que entendi o NAT é configurado por essas linhas abaixo: # Ativa roteamento echo 1 /proc/sys/net/ipv4/ip_forward na verdade intaum esse roteamento redireciona os pacotes que a interface de rede interna do gateway recebe para a interface de rede externa do gateway. E o gateway pega esses pacotes que estão na sua interface de rede externa e os redireciona para o servidor solicitado (exemplo: um servidor WEB) e o mesmo processo é feito no sentido de volta. Isso acima é o NAT correto??? Pelo que entendi o MASQUERADE(mascaramento dos pacotes) é configurado por essas linhas abaixo: # mascara saida dos pacotes iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Se você quiser mascarar os endereços de origem você deverá usar a linha acima que estará mascarando o NAT que você tem em sua rede e nínguem irá enchergar nem os endereços das estações nem o do default gateway das estações. Só iram enchergar o endereço da minha interface de internet a minha eth0(ip: 200...) Uma questão conceitual do iptables. O Iptables deve ser configurado primeiro para: Barrar tudo e depois permitir o que vc quer ou, Permitir o que vc quer e depois barrar tudo??? Parece-me que o Iptables e o squid tem conceitos diferentescerto um bloqueio primeiro e libera depois..e o outro libera primeiro e bloqueia depoiscerto... Agora sobre a questão do NAT estar habilitado em minha rede pelo que entendi do que vc me explicou é que; A forma que eu devo utilizar do NAT é a seguinte: 1.) habilito o NAT 2.) Libero o que preciso (25 e 110) 3.) Mascaro a saida dos pacotes 4.) Bloqueio tudo dessa forma acima só será feito o NAT dos pacotes de POP3 e 110 ...certo... Obrigado pela ajuda e paciência. tks ;- Em 09/07/07, *henrique* [EMAIL PROTECTED] mailto:[EMAIL PROTECTED] escreveu: --- Marcelo Castilho Manzano [EMAIL PROTECTED] mailto:manzano.marcelo%40gmail.com escreveu: Gente, tenho um pouco de dificuldade pra conceituar/diferenciar NAT e FORWADING. Alguém poder nos dar uma pincelada sobre o que é cada um.. abraço Olá, Marcelo. NAT - maiores informacoes: http://www.abusar.org/nat.html http://pt.wikipedia.org/wiki/NAT portforwarding - maiores informacoes: http://pt.wikipedia.org/wiki/Port_forwarding agora, sobre o post que vc enviou pra dup, aquilo é apenas uma regra da cadeia forward da sua NAT. :D :D :D naquele caso, como a sua politica de forward deve ser accept, e como eu não vi nenhuma linha mais abaixo bloqueando os outros pacotes forwards que não fossem dos serviços da porta 25 e da 110, nem faria diferença tirar ou colocar aquelas duas linhas de forward que vc colocou lá. agora, se você retirar o roteamento (uma interface de rede não conversa com a outra) e se voce retirar o nat, nem adiantaria você ter aquelas linhas de forward. Nat é usado qdo temos um ip de saida e uma rede inteira atras dele. É meio raro encontrar hoje em dia quem possua uma
Re: [squid-br] Uma questão conceitual !!
Aproveito o gancho para pedir o fim do top-post. Se não for pedir demais, eu não preciso saber da assinatura de todos os que receberam a mensagem... Eu também não faço questão de receber 328674523 bom dia por e-mail... Então filtrar apenas o essencial é uma _boa_ ajuda... :-) Fazer top-post é mais fácil sim... Mas: frente para trás de lemos não humanos os... :-) -- Davi Vidal [EMAIL PROTECTED] [EMAIL PROTECTED] -- Religion, ideology, resources, land, spite, love or just because... No matter how pathetic the reason, it's enough to start a war. Por favor não faça top-posting, coloque a sua resposta abaixo desta linha. Please don't do top-posting, put your reply below the following line. pgpO0YnbxExQF.pgp Description: PGP signature