IPTABLES

Question

Com o NAT podemos trocar o IP n&atilde;o p&uacute;blico(192.168.0.2) pelo IP p&uacute;blico(200.222.5.2) e vice-versa.

   	Todo pacote que vir pela INTERNET para acessar o servidor 200.222.5.2, passa pela regra PREROUTING do Firewall e logo em seguida &eacute; feito um DNAT(destination NAT) que troca o IP destino 200.222.5.2 por 192.168.0.2 e em seguida o pacote &eacute; encaminhado para o filtro, verificado nas regras de FORWARD e a&iacute; ent&atilde;o chega ao servidor destino. Quando sa&iacute;r um pacote do IP 192.168.0.2 com destino a INTERNET, o mesmo passa novamente pelas regras de FORWARD e logo em seguida passa para o POSTROUTING que faz o SNAT(source NAT) onde &eacute; trocado o IP 192.168.0.2 pelo IP 200.222.5.2 e a&iacute; sim vai para a INTERNET. O nome dado a esse tipo de acesso &eacute; NAT 1:1. 

	   O exemplo abaixo se trata justamente disto, por&eacute;m eu n&atilde;o estou entendendo o por qu&ecirc; que ele colocou esse /32 depois do IP, se algu&eacute;m poder me ajudar eu agrade&ccedil;o.

iptables -A PREROUTING  -t nat -d 200.222.5.2/32 -j DNAT --to 192.168.0.2

iptables -A POSTROUTING -t nat -s 192.168.0.2/32 -j SNAT --to 200.222.5.2

Muito obrigada pela aten&ccedil;&atilde;o. :oops:

Answer

[quote=enailuc]Com o NAT podemos trocar o IP n&atilde;o p&uacute;blico(192.168.0.2) pelo IP p&uacute;blico(200.222.5.2) e vice-versa.

   	Todo pacote ...[/quote]

O 32 em questao, trata-se da sub-mascara da rede, o 32 = 255.255.255.255 , ou seja, 200.222.5.2/32 = 200.222.5.2/255.255.255.255...

significa um unico host numa sub-rede que comporta apenas ele mesmo (que nome se dah a isso mesmo?? naum lembro agora ) enfim , eh isso !

blz !

Answer

Como ficaria essa mesma regra pra quem usa linha discada (ip dinamico)?


Abra&ccedil;o

Answer

Fica a mesma coisa Cold. Somente vc troca o IP externo por uma variavel que da o valor do IP cada vez que a interface subir.

Note que s&oacute; isso que ela colocou a&iacute; n&atilde;o serve p/ nada. heheh o mais importante s&atilde;o justamente as regras POST/PRE routing que deven estar em outra parte do script.

Note ainda que isso &eacute; NAT Um-p/um. Ouseja, cada endereco INTERNO tem UM EXTERNO. Numa rede com ip-dinamico, geralmente vc tem somente UM IP externo. Logo, vc so poderia acessar a Internet com uma m&aacute;quina da sua rede, se usasse este esquema. P/ IP dinamico se usa NAT One-to many. ( que segundo alguns puristas n&atilde;o &eacute; NAT de verdade hehe

Answer

No meu script eu uso esta regra pra mascaramento do q sair pela ppp0 (troque por eth0 se vc usar Speedy)


iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERAD


Abra&ccedil;o

Answer

[quote=Bol&atilde;o]O 32 em questao, trata-se da sub-mascara da rede, o 32 = 255.255.255.255 , ou seja, 200.222.5.2/32 = 200.222.5.2/255....[/quote]

Ae Bol&atilde;o e Galera!!!

Tenho uma d&uacute;vida:

Aqui eu uso a m&aacute;scara de rede 255.255.0.0, qual seria este valor depois da /???

Se fosse 255.255.255.0 seria 24, certo?

Se poss&iacute;vel, qual seria a conta para saber isso  :?:  :?:  :?: 

Valeu galera, um abra&ccedil;o a vc&acute;s

Answer

[quote=Tiago Cruz]Ae Bol&atilde;o e Galera!!!

Tenho uma d&uacute;vida:

Aqui eu uso a m&aacute;scara de rede 255.255.0.0, qual seria este valor depois ...[/quote]

255.255.0.0 = 15
(32,24,15, etc... isso significa Mask Bits, ou seja sua rede &eacute; de 15 bits , sacou ?

mas o IPTABLES reconhe&ccedil;e tanto a m&aacute;scara, como os Mask Bits !!

Answer

Bom... s&oacute; para pegar a l&oacute;gica da coisa:

Se a rede fosse 255.0.0.0, seria 6 :?::?::?: 

Foi mal encher, mas &eacute; porque fico com essa coisa na cabe&ccedil;a e a&iacute; &eacute; emba&ccedil;ado...

Ainda bem que o IPTABLES reconhece, s&oacute; n&atilde;o sei se o SQUID vai reconhecer, en&atilde;o po via das d&uacute;vidas...  :wink: 

Obrigado!

Answer

[quote=Tiago Cruz]Bom... s&oacute; para pegar a l&oacute;gica da coisa:

Se a rede fosse 255.0.0.0, seria 6 :?::?::?: 

Foi mal encher, mas &eacute; por...[/quote]

...n&atilde;o seria, /8 !!! 

e o SQUID tb suporta ambos... na verdades todo script q se preze (l&ecirc;-se, q seja s&eacute;rio) voltado para redes, suportam ambos !!

Existe programas que calculam as m&aacute;scaras/bits de acordo com sua necessidade, dah uma cheretada no google com o termo SubMask Calculator...

http://www.telusplanet.net/public/sparkman/netcalc.htm

..... e boa divers&atilde;o !!

Answer

[quote=Tiago Cruz]Bom... s&oacute; para pegar a l&oacute;gica da coisa:

Se a rede fosse 255.0.0.0, seria 6 :?::?::?: 

Foi mal encher, mas &eacute; por...[/quote]

Pra ajudar:

0 (decimal) = 0 (hexa) = 0000.0000 (bin&aacute;rio) => 0 bits
255 = FF = 1111.1111 => 8 bits 1
254 = FE = 1111.1110 => 7 bits 1
252 = FC = 1111.1100 => 6 bits 1
248 = F8 = 1111.1000 => 5 bits 1
240 = F0 = 1111.0000 => 4 bits 1
208 = E0 = 1110.0000 => 3 bits 1
192 = C0 = 1100.0000 => 2 bits 1
128 = 80 = 1000.0000 => 1 bit 1
0 = 00 = 0000.0000 => 0 bits 1
vc faz a conta assim:

m&aacute;scara 255.255.252.0 => 8 + 8 + 6 = 22 bits => /22
m&aacute;scara 255.255.255.0 => 8 + 8 + 8 = 24 bits => /24
m&aacute;scara 255.192.0.0 => 8 + 2 = 10 bits => /10

Lembrando que a m&aacute;scara deve ter sempre os primeiros bits em 1 e os &uacute;ltimos bits em 0 => 255.0.0.255 n&atilde;o &eacute; uma m&aacute;scara v&aacute;lida.

Answer

8O  8O  8O 

Xi...Agora que complicou mesmo  :roll: 

T&ocirc; brincando, estudei por 02 anos eletr&ocirc;nica digital no senai, e n&atilde;o tenho problemas com convers&otilde;es e contas estranhas  :lol: 

Mas vou dar um control+c e control+v nesse texto, colar no 602text (office? que nada! :twisted: ) e estudar um pokinho que n&atilde;o faz mal a ningu&eacute;m!!!

Gente, valeu mesmo as respostas. Esta era uma d&uacute;vida que me atormentava ja ha um bom tempo!

[]&acute;s a todos!!!

Answer

Caros Amigos:

Gostei bastante deste assunto e gostaria de publica-lo em forma de Artigo no site abaixo, para ter acesso de qualquer lugar de onde estiver  :P 

Logicamente, somente farei isso com as autoriza&ccedil;&otilde;es de vc&acute;s (autores da &oacute;tima resposta)

O texto seria +- o seguinte: 


Mascara de Rede

Com o NAT podemos trocar o IP n&atilde;o p&uacute;blico(192.168.0.2) pelo IP p&uacute;blico(200.222.5.2) e vice-versa. 

Todo pacote que vir pela INTERNET para acessar o servidor 200.222.5.2, passa pela regra PREROUTING do Firewall e logo em seguida &eacute; feito um DNAT(destination NAT) que troca o IP destino 200.222.5.2 por 192.168.0.2 e em seguida o pacote &eacute; encaminhado para o filtro, verificado nas regras de FORWARD e a&iacute; ent&atilde;o chega ao servidor destino. Quando sa&iacute;r um pacote do IP 192.168.0.2 com destino a INTERNET, o mesmo passa novamente pelas regras de FORWARD e logo em seguida passa para o POSTROUTING que faz o SNAT(source NAT) onde &eacute; trocado o IP 192.168.0.2 pelo IP 200.222.5.2 e a&iacute; sim vai para a INTERNET. O nome dado a esse tipo de acesso &eacute; NAT 1:1. 

O exemplo abaixo se trata justamente disto, por&eacute;m eu n&atilde;o estou entendendo o por qu&ecirc; que ele colocou esse /32 depois do IP, se algu&eacute;m poder me ajudar eu agrade&ccedil;o. 

iptables -A PREROUTING -t nat -d 200.222.5.2/32 -j DNAT --to 192.168.0.2 
iptables -A POSTROUTING -t nat -s 192.168.0.2/32 -j SNAT --to 200.222.5.2 
(Por: enailuc)


O 32 em questao, trata-se da sub-mascara da rede, o 32 = 255.255.255.255 , ou seja, 200.222.5.2/32 = 200.222.5.2/255.255.255.255...  

Mas o IPTABLES e o SQUID reconhe&ccedil;e tanto a m&aacute;scara, como os Mask Bits !!
Existe programas que calculam as m&aacute;scaras/bits de acordo com sua necessidade, dah uma cheretada no google com o termo SubMask Calculator... 

http://www.telusplanet.net/public/sparkman/netcalc.htm 
(Por: Bol&atilde;o / Raphael Oliveira Vieira)



Pra ajudar: 

0 (decimal) = 0 (hexa) = 0000.0000 (bin&aacute;rio) => 0 bits 
255 = FF = 1111.1111 => 8 bits 1 
254 = FE = 1111.1110 => 7 bits 1 
252 = FC = 1111.1100 => 6 bits 1 
248 = F8 = 1111.1000 => 5 bits 1 
240 = F0 = 1111.0000 => 4 bits 1 
208 = E0 = 1110.0000 => 3 bits 1 
192 = C0 = 1100.0000 => 2 bits 1 
128 = 80 = 1000.0000 => 1 bit 1 
0 = 00 = 0000.0000 => 0 bits 1 
vc faz a conta assim: 

m&aacute;scara 255.255.252.0 => 8 + 8 + 6 = 22 bits => /22 
m&aacute;scara 255.255.255.0 => 8 + 8 + 8 = 24 bits => /24 
m&aacute;scara 255.192.0.0 => 8 + 2 = 10 bits => /10 

Lembrando que a m&aacute;scara deve ter sempre os primeiros bits em 1 e os &uacute;ltimos bits em 0 => 255.0.0.255 n&atilde;o &eacute; uma m&aacute;scara v&aacute;lida. (Por: jqueiroz)

Eu iria procurar o e-mail de vc&acute;s um a um, mas &eacute; complicado e tamb&eacute;m mandar uma MP um a um, mas achei mais f&aacute;cil postar aqui, mesmo sabendo da rejei&ccedil;&atilde;o de alguns sobre isso.

Ent&atilde;o gotaria de pedir para os autores citados que entrem em contato via MP, ICQ 78238923, e-mail tiagocruz18@uol.com.br, fax sinal de fuma&ccedil;a ou qualquer outra coisa, se interessados ou n&atilde;o  :lol: 

Aguardo retorno, blz?  :wink:

Ferramentas

Mover Tópico