O Gateway IP da Novell e o NAT são explicados nas seguintes seções:
Para acessar a Internet, cada host precisa usar um endereço IP (registrado) único globalmente, obtido de um provedor Internet ou de um registro de endereços da Internet, como o IANA (Internet Assigned Numbers Authority). A menos que você esteja solicitando muitos endereços, um provedor Internet precisará ser capaz de acomodar suas necessidades de endereçamento.
No entanto, como talvez seja caro ou inviável obter endereços IP registrados para todos os hosts de sua rede, talvez você prefira não atribuir endereços registrados a cada host na sua rede privada, usando uma das duas soluções no nível do circuito fornecidas com o software Novell BorderManagerTM: o Gateway IP da Novell e o NAT.
O Gateway IP da Novell e o NAT (Network Address Translation) são considerados soluções no nível do circuito porque podem estabelecer conexões à Internet usando endereços IP registrados em nome de vários hosts da rede privada para os quais não foram designados esses endereços. O circuito (ou conexão) original de um host é terminado na interface do gateway ou do NAT, a qual estabelece a conexão real com a Internet para esse host. Por isso, vários hosts podem compartilhar o mesmo endereço IP registrado se ele for atribuído à interface do Gateway IP da Novell ou do NAT e os endereços IP da rede privada forem basicamente ocultados da Internet.
Esta seção mostra como o Gateway IP da Novell funciona e quais clientes são suportados. Também são fornecidas informações adicionais sobre:
O Gateway IP da Novell reencaminha pedidos de clientes privados Windows para vários recursos da Internet. No processo, o gateway usa um endereço IP registrado em vez do endereço IP ou do endereço IPXTM (Internetwork Packet ExchangeTM) privado do cliente para se comunicar com o recurso da Internet. Essa substituição de endereços permite que os clientes acessem a Internet sem mudar seus endereços privados e oculta os endereços da rede privada na Internet.
NOTA: Os clientes Windows suportados pelo Gateway IP da Novell abrangem o Windows NT 4.0, o Windows 98, o Windows 95 e o Windows 3.1.
Os clientes SOCKS 4 e SOCKS 5 também são suportados pelo Gateway IP da Novell. Esse serviço permite que qualquer cliente SOCKS use o Gateway IP da Novell como gateway padrão para a Internet.
O Gateway IP da Novell implementa o controle de acesso dos usuários ao utilizar as informações armazenadas no banco de dados do NDSTM para gerenciar a conectividade com a Internet. O controle de acesso baseado no NDS pode ser usado para evitar que usuários especificados acessem a Internet ou para evitar que usuários em geral acessem determinados sites ou serviços da Internet. Você pode criar objetos Usuário do NDS para usuários de aplicativos SOCKS, de modo que o Gateway IP da Novell possa controlar os destinos ou serviços que os usuários do SOCKS acessam através do gateway em determinado momento.
Ao usar o Administrador do NetWare® para configurar e monitorar o Gateway IP da Novell, você pode restringir o tráfego TCP ou UDP aos endereços IP e portas especificados, mudar a porta do serviço de gateway, monitorar a utilização do gateway, examinar o registro do servidor do gateway e coletar estatísticas relacionadas à utilização do gateway em determinado período de tempo.
Tanto os clientes Novell baseados no Windows que utilizam o IPX ou o IP como os clientes SOCKS podem acessar a Internet (ou outras redes TCP/IP) através do Gateway IP da Novell. Isso acontece porque o Gateway IP da Novell pode fornecer qualquer um destes ou todos estes três serviços:
O serviço que será habilitado depende de a sua rede suportar ou não clientes Windows IPX, clientes Windows IP ou clientes não-Windows SOCKS, ou alguma combinação desses clientes. Os requisitos específicos da diretiva de segurança também precisam ser considerados.
Um Gateway IP da Novell que tenha sido habilitado para uma rede não precisa ser usado por todos os clientes dessa rede. A interface do cliente Windows permite que um usuário habilite e desabilite o recurso do cliente para usar o Gateway IP da Novell. O uso que cada cliente faz do gateway pode ser habilitado independentemente dos outros clientes da rede. No entanto, quando a configuração do cliente é mudada, a estação de trabalho precisa ser reinicializada para que a mudança surta efeito. Em geral, a configuração do cliente SOCKS exige o endereço IP ou nome do host do DNS do servidor do Gateway IP da Novell para direcionar o cliente a usar o Gateway IP da Novell. O recurso que permite ao cliente SOCKS usar o Gateway IP da Novell é desabilitado se essas informações forem removidas dos parâmetros de configuração.
Para obter a descrição do procedimento utilizado para habilitar e desabilitar a utilização do Gateway IP da Novell em um cliente, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT
Por padrão, os clientes de Gateway IP da Novell estão com o recurso de proxy transparente do cliente de gateway habilitado. Após um usuário logar no NDS, o cliente de gateway localiza imediatamente todos os servidores proxy que o usuário tem permissão para acessar. Durante uma sessão subseqüente do browser, o cliente de gateway intercepta os pacotes HTTP usando a porta TCP/IP 80 e envia-os diretamente para o primeiro proxy HTTP que encontrar no NDS, em vez de enviá-los para o Gateway IP da Novell. Como esse recurso está incorporado ao componente do gateway do Novell Client, o administrador não precisa fazer qualquer configuração adicional.
NOTA: Não confunda o recurso de proxy transparente do cliente de gateway com o recurso de proxy transparente do proxy HTTP. Para que o recurso de proxy transparente do proxy HTTP esteja habilitado, um administrador precisa ativá-lo no Administrador do NetWare. Quando o proxy transparente está habilitado para proxy HTTP, o TCPIP.NLM que está sendo executado no servidor BorderManager intercepta os pacotes HTTP enviados do browser de uma estação de trabalho e os direciona para o proxy HTTP em execução no mesmo servidor. O browser não precisa ser configurado para usar um proxy manual. No entanto, o servidor proxy precisa estar no caminho de roteamento IP da estação de trabalho.
Para obter maiores informações sobre o proxy transparente HTTP, consulte o manual "Visão geral e planejamento do recurso Serviços de Proxy".
Os clientes que estão usando serviços SOCKS 5 ou gateway IPX/IP podem tirar proveito da autenticação de logon único. O serviço de gateway IP/IP não suporta a autenticação de logon único.
A autenticação de logon único permite aos clientes logarem no NDS somente uma vez para usarem o serviço SOCKS 5 ou gateway IPX/IP. Se um usuário já estiver logado no NDS e tentar acessar recursos através do Gateway IP da Novell, a autenticação do NDS pelo gateway será feita em background. Sem o logon único, seria mostrado um quadro de diálogo para os usuários digitarem o nome de usuário e a senha toda vez que estabelecessem uma nova conexão com o gateway.
Para que o logon único funcione, as condições a seguir precisam ser atendidas:
O logon único ocorre na porta 3024 no servidor. Se o logon único tiver sido habilitado no mesmo servidor BorderManager para o Gateway IP da Novell e o recurso Serviços de Proxy, será necessária somente uma autenticação de background para que um usuário utilize os dois serviços. Isso acontece porque a porta 3024 é uma porta compartilhada.
IMPORTANTE: Para que o logon único funcione, os firewalls de filtragem de pacotes no caminho de roteamento entre um cliente de gateway ou proxy e um servidor BorderManager precisam permitir que os pacotes designados para a porta 3024 sejam transmitidos.
Para obter a descrição do procedimento utilizado para habilitar o login único para clientes de Gateway IP da Novell, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT Para obter a descrição do procedimento utilizado para habilitar o login único para autenticação do proxy, consulte Configuração e gerenciamento dos serviços de proxy
O NAT (Network Address Translation) converte endereços IP privados em endereços IP registrados. Essa conversão de endereços proporciona vantagens semelhantes às do Gateway IP da Novell. O NAT permite que clientes privados acessem a Internet sem a reconfiguração dos respectivos endereços privados e, ao mesmo tempo, oculta da Internet os endereços da rede privada.
No entanto, o NAT não precisa do Windows nem do Novell Client para Windows. Como o NAT opera em uma interface de roteador de rede, o recurso de conversão de endereços da interface pode ser usado pelos hosts da rede que estão em execução em qualquer plataforma, inclusive o Windows, Macintosh, UNIX e OS/2. Se esses hosts enviarem seus pacotes TCP/IP através da interface do NAT, seus endereços IP de origem não serão reencaminhados nos cabeçalhos dos pacotes TCP/IP.
Além da conversão de endereços, o NAT pode ser usado para oferecer outras vantagens, como a filtragem de pacotes baseada em endereços IP para aumentar a segurança da rede. Quando uma interface de rede é configurada para usar o NAT em qualquer um dos três modos de operação, conforme descrito em "Selecionar um modo de operação do NAT" os endereços IP de origem e destino de cada pacote TCP/IP que alcança a interface são examinados. Para obter maiores informações sobre como o NAT filtra os pacotes com base nos endereços de origem e destino, consulte "Regras de filtragem".
Como o Gateway IP da Novell e o NAT apresentam uma funcionalidade semelhante, você precisa decidir se usará uma solução ou outra.
O Gateway IP da Novell talvez seja uma opção melhor nas seguintes condições:
O componente de gateway IPX/IP do Gateway IP da Novell é a única opção de conversão de endereços de rede para clientes IPX.
O NAT talvez seja uma opção melhor nas seguintes condições:
Como o Gateway IP da Novell suporta somente clientes IP baseados no Windows, outros clientes da rede precisam usar o NAT.
O NAT funciona mais rápido do que o Gateway IP da Novell porque precisa de menos overhead de protocolo para operar.
Além disso, o NAT não é afetado por problemas do NDS. Se um usuário não conseguir logar no NDS, o acesso através do Gateway IP da Novell poderá atrasar. Como o NAT verifica somente os endereços IP nos cabeçalhos dos pacotes TCP/IP, sua operação não depende da disponibilidade do NDS.
NOTA: Embora talvez você tenha outros motivos para usar uma solução e não a outra, podem ocorrer também situações em que desejaria implementar as duas soluções na sua rede.