Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 15:53, Otavio Augusto escreveu: > Em 24 de junho de 2016 15:33, Márcio Elias escreveu: >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> >> Configurei um servidor com vários IP's públicos para atender a muitos >> clientes (uma espécie de CGNat para o ISP que trabalho). >> >> Setei um range de portas TCP/UDP para cada IP privado, para poder >> identificar usuários caso necessário e tudo funcionou muito bem, alias, >> quase tudo. >> >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não >> retornam a interface com o IP privado atras do NAT, chegam na interface >> pública mais não são traduzidos corretamente. >> >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho >> timeout nos demais e finalmente recebo o retorno do último hop, já que esse >> não é um TTL Exceeded. >> >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério >> nesses tipos de conexões, mais gostaria muito de solucionar isso. >> >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para >> dar um auxilio? >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. Márcio, Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: GRE, ESP, AH, L2TP, etc... Faça uma regra final considerando o NAT do restante todo. Att, -- Eduardo Schoedler - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Fiz, mais ainda assim não alterou o resultado final!!! On Fri, Jun 24, 2016 at 5:27 PM Otavio Augusto wrote: > Em 24 de junho de 2016 17:17, Márcio Elias > escreveu: > > Então, eu faço assim: > > > > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 > > map INTF ip-privado -> ip-publico > > > > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range > de > > portas, e demais protocolos na regra abaixo. > > > > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e > > utilizando uma terceira regra para o restante, mais o resultado é o > mesmo! > > > > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto > wrote: > > > >> Em 24 de junho de 2016 15:33, Márcio Elias > >> escreveu: > >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > >> > > >> > Configurei um servidor com vários IP's públicos para atender a muitos > >> > clientes (uma espécie de CGNat para o ISP que trabalho). > >> > > >> > Setei um range de portas TCP/UDP para cada IP privado, para poder > >> > identificar usuários caso necessário e tudo funcionou muito bem, > alias, > >> > quase tudo. > >> > > >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > >> > retornam a interface com o IP privado atras do NAT, chegam na > interface > >> > pública mais não são traduzidos corretamente. > >> > > >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de > um PC > >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, > tenho > >> > timeout nos demais e finalmente recebo o retorno do último hop, já que > >> esse > >> > não é um TTL Exceeded. > >> > > >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > >> sério > >> > nesses tipos de conexões, mais gostaria muito de solucionar isso. > >> > > >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente > para > >> > dar um auxilio? > >> > - > >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > >> Quando vc setá um range de portas para cada ip invalido vc taz nat de > >> tcp e udp agora vc precisa de uma regra para icmp. > >> Coloque uma regra única de icmp para cada ip publico fazendo nat para > >> os ips que devem sair por este ip. > >> > >> -- > >> Otavio Augusto > >> - > >> Consultor de TI > >> Citius Tecnologia > >> 31 37761866 > >> 31 88651242 > >> http://www.citiustecnologia.com.br > >> - > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > >> > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Esperimenta colcoarr estes ips validos em uma interface loopback . > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 17:17, Márcio Elias escreveu: > Então, eu faço assim: > > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 > map INTF ip-privado -> ip-publico > > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de > portas, e demais protocolos na regra abaixo. > > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e > utilizando uma terceira regra para o restante, mais o resultado é o mesmo! > > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > >> Em 24 de junho de 2016 15:33, Márcio Elias >> escreveu: >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? >> > >> > Configurei um servidor com vários IP's públicos para atender a muitos >> > clientes (uma espécie de CGNat para o ISP que trabalho). >> > >> > Setei um range de portas TCP/UDP para cada IP privado, para poder >> > identificar usuários caso necessário e tudo funcionou muito bem, alias, >> > quase tudo. >> > >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não >> > retornam a interface com o IP privado atras do NAT, chegam na interface >> > pública mais não são traduzidos corretamente. >> > >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho >> > timeout nos demais e finalmente recebo o retorno do último hop, já que >> esse >> > não é um TTL Exceeded. >> > >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema >> sério >> > nesses tipos de conexões, mais gostaria muito de solucionar isso. >> > >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para >> > dar um auxilio? >> > - >> > Histórico: http://www.fug.com.br/historico/html/freebsd/ >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> >> Quando vc setá um range de portas para cada ip invalido vc taz nat de >> tcp e udp agora vc precisa de uma regra para icmp. >> Coloque uma regra única de icmp para cada ip publico fazendo nat para >> os ips que devem sair por este ip. >> >> -- >> Otavio Augusto >> - >> Consultor de TI >> Citius Tecnologia >> 31 37761866 >> 31 88651242 >> http://www.citiustecnologia.com.br >> - >> Histórico: http://www.fug.com.br/historico/html/freebsd/ >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd >> > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Esperimenta colcoarr estes ips validos em uma interface loopback . -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Então, eu faço assim: map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 map INTF ip-privado -> ip-publico Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de portas, e demais protocolos na regra abaixo. Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e utilizando uma terceira regra para o restante, mais o resultado é o mesmo! On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > Em 24 de junho de 2016 15:33, Márcio Elias > escreveu: > > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > > > Configurei um servidor com vários IP's públicos para atender a muitos > > clientes (uma espécie de CGNat para o ISP que trabalho). > > > > Setei um range de portas TCP/UDP para cada IP privado, para poder > > identificar usuários caso necessário e tudo funcionou muito bem, alias, > > quase tudo. > > > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > > retornam a interface com o IP privado atras do NAT, chegam na interface > > pública mais não são traduzidos corretamente. > > > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > > timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > > não é um TTL Exceeded. > > > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > > dar um auxilio? > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. > > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Então, eu faço assim: map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000 map INTF ip-privado -> ip-publico Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de portas, e demais protocolos na regra abaixo. Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e utilizando uma terceira regra para o restante, mais o resultado é o mesmo! On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto wrote: > Em 24 de junho de 2016 15:33, Márcio Elias > escreveu: > > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > > > Configurei um servidor com vários IP's públicos para atender a muitos > > clientes (uma espécie de CGNat para o ISP que trabalho). > > > > Setei um range de portas TCP/UDP para cada IP privado, para poder > > identificar usuários caso necessário e tudo funcionou muito bem, alias, > > quase tudo. > > > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > > retornam a interface com o IP privado atras do NAT, chegam na interface > > pública mais não são traduzidos corretamente. > > > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > > timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > > não é um TTL Exceeded. > > > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > > dar um auxilio? > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > tcp e udp agora vc precisa de uma regra para icmp. > Coloque uma regra única de icmp para cada ip publico fazendo nat para > os ips que devem sair por este ip. > > -- > Otavio Augusto > - > Consultor de TI > Citius Tecnologia > 31 37761866 > 31 88651242 > http://www.citiustecnologia.com.br > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] IPNAT vs Traceroute
Em 24 de junho de 2016 15:33, Márcio Elias escreveu: > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > > Configurei um servidor com vários IP's públicos para atender a muitos > clientes (uma espécie de CGNat para o ISP que trabalho). > > Setei um range de portas TCP/UDP para cada IP privado, para poder > identificar usuários caso necessário e tudo funcionou muito bem, alias, > quase tudo. > > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > retornam a interface com o IP privado atras do NAT, chegam na interface > pública mais não são traduzidos corretamente. > > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > timeout nos demais e finalmente recebo o retorno do último hop, já que esse > não é um TTL Exceeded. > > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério > nesses tipos de conexões, mais gostaria muito de solucionar isso. > > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para > dar um auxilio? > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd Quando vc setá um range de portas para cada ip invalido vc taz nat de tcp e udp agora vc precisa de uma regra para icmp. Coloque uma regra única de icmp para cada ip publico fazendo nat para os ips que devem sair por este ip. -- Otavio Augusto - Consultor de TI Citius Tecnologia 31 37761866 31 88651242 http://www.citiustecnologia.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] IPNAT vs Traceroute
Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? Configurei um servidor com vários IP's públicos para atender a muitos clientes (uma espécie de CGNat para o ISP que trabalho). Setei um range de portas TCP/UDP para cada IP privado, para poder identificar usuários caso necessário e tudo funcionou muito bem, alias, quase tudo. Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não retornam a interface com o IP privado atras do NAT, chegam na interface pública mais não são traduzidos corretamente. O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho timeout nos demais e finalmente recebo o retorno do último hop, já que esse não é um TTL Exceeded. Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério nesses tipos de conexões, mais gostaria muito de solucionar isso. Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para dar um auxilio? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd