Implementação do modo dinâmico do NAT
Esta seção descreve as seguintes opções de configuração:
O NAT (Network Address Translation) pode ser configurado para operar em um dos três modos possíveis: apenas dinâmico, apenas estático e uma combinação de estático e dinâmico. O modo dinâmico é usado para permitir que hosts da rede privada, ou intranet, acessem uma rede pública, como a Internet. O modo estático é usado para permitir que hosts da rede pública acessem hosts selecionados na rede privada. O modo de combinação é usado quando são necessárias funções dos modos dinâmico e estático.
As seções a seguir descrevem cada modo de operação do NAT e analisam as vantagens de cada um deles.
No modo apenas dinâmico, o NAT (Network Address Translation) permite que os hosts IP de uma rede privada acessem a Internet sem que um administrador precise designar globalmente um endereço IP único para cada sistema. Em vez disso, a interface do NAT é configurada com um endereço público e os hosts privados podem, então, acessar a Internet através da interface do NAT.
O endereço IP vinculado à interface do NAT e uma porta de um pool de portas disponíveis que são constantemente reutilizadas são atribuídos dinamicamente aos hosts que acessam a Internet. Cada vez que um pacote é reencaminhado à rede pública, o endereço privado é substituído pelo endereço público único globalmente e por uma porta atribuída de forma aleatória. Quando a sessão termina, a porta é retornada ao pool para ser reatribuída, conforme necessário. Nenhuma conexão pode ser iniciada da rede pública para a rede privada.
O endereço de origem ou de destino (dependendo da direção) de todos os pacotes TCP, UDP e ICMP é convertido. O endereço público usado para essa conversão é o endereço IP primário da interface do NAT, que é especificado no parâmetro Endereço IP Local.
O NAT fornece um pool de 5.000 portas para conexões TCP, 5.000 para mapeamentos UDP e 5.000 para mapeamentos ICMP. Para estabelecer uma nova conexão quando todos os 5.000 mapeamentos UDP ou ICMP já tiverem sido usados, o NAT descarta o mapeamento mais antigo e fornece um número de porta para o novo mapeamento. Para estabelecer uma nova conexão TCP quando todas as 5.000 conexões já tiverem sido usadas, o NAT fornece um número de porta para a nova conexão, descartando a conexão mais antiga que atenda aos seguintes critérios, na ordem mostrada:
O modo apenas estático é usado para o mapeamento um-para-um permanente dos endereços IP registrados públicos para endereços IP locais dentro de uma rede privada. As conversões estáticas de endereços são recomendadas quando hosts internos, como servidores FTP ou Web, tornam-se disponíveis para a rede pública.
No modo apenas estático, o NAT (Network Address Translation) é configurado com uma tabela de pares de endereços IP. Cada entrada da tabela contém um par de endereços IP para cada host que os hosts públicos possam acessar. O primeiro endereço IP de cada par é um endereço IP público para o qual o endereço privado é mapeado; o segundo endereço é o endereço do host na rede privada.
Como os hosts públicos só podem acessar hosts privados usando os endereços IP públicos desses hosts, somente os hosts que tiverem seus endereços IP definidos na tabela de conversão de endereços de rede poderão ser acessados. A interface do NAT descarta os pacotes endereçados a hosts que não possuam uma entrada de mapeamento de endereços na tabela. Da mesma forma, para permitir o acesso de hosts privados à rede pública usando o modo apenas estático, cada host privado precisa ter seu endereço IP privado mapeado para um endereço IP público único na tabela de conversão de endereços de rede.
IMPORTANTE: Quando o NAT é executado em um modo apenas dinâmico, um mesmo endereço IP público e um número aleatório de porta são atribuídos a vários hosts privados. Quando o NAT é executado em um modo somente estático, todos os mapeamentos de endereços são únicos. Um endereço público na tabela de conversão de endereços de rede não pode ser mapeado para mais de um host privado.
A combinação dos modos estático e dinâmico é usada se alguns hosts da rede exigirem a conversão dinâmica de endereços e outros exigirem a conversão estática. Por exemplo, a rede privada pode ter hosts para acessar a Internet e também outros recursos que você deseja que sejam acessados pelos hosts públicos. Com o modo combinado estático e dinâmico, você pode usar os dois métodos ao mesmo tempo.
Para usar o modo dinâmico e estático, precisa ser configurado um endereço público para conversões dinâmicas e um endereço público para cada host privado. Como o modo estático e dinâmico precisa de mais de um endereço público vinculado à mesma interface do NAT, os endereços IP secundários (multihoming) precisam ser configurados.
Configure a interface habilitada para o NAT para multihoming, conforme descrito em Configuração e gerenciamento do Gateway IP da Novell e NAT Para obter uma breve descrição do multihoming, consulte "Usar o multihoming"
IMPORTANTE: Quando endereços IP secundários estão vinculados à interface do NAT e o modo de operação estático e dinâmico está selecionado, a interface do NAT usa automaticamente o endereço IP primário para o modo dinâmico. Os endereços IP secundários precisam ser mapeados para endereços IP de host privado na tabela de conversão estática de endereços de rede.
Observe a seguir exemplos dos modos de operação dinâmico e estático do NAT.
Figura 4-1 mostra um aplicativo do NAT no modo apenas dinâmico. Na Figura 4-1, o host da rede privada usa o endereço 10.33.96.5 de classe A. A interface do NAT do roteador para a rede pública foi configurada com o endereço de classe C, 201.44.53.7. Esse endereço de classe C é único globalmente e é registrado com o IANA (Internet Assigned Numbers Authority) ou com outro registro da Internet localizado fora dos Estados Unidos.
Quando o host com o endereço privado 10.33.96.5 deseja acessar um host na Internet com o endereço público 198.76.28.4, ele envia pacotes para o respectivo roteador primário. O roteador tem uma rota padrão configurada na interface WAN para que os pacotes sejam reencaminhados para essa interface. O NAT que está sendo executado na interface converte o endereço de origem 10.33.96.5 do cabeçalho IP no seu próprio endereço único globalmente 201.44.53.7 e atribui uma nova porta de origem antes de os pacotes serem reencaminhados. Da mesma forma, todos os pacotes IP internos de resposta passam pela conversão inversa de portas e endereços.
IMPORTANTE: A interface habilitada pelo NAT precisa ser configurada de modo que nunca use o protocolo RIP (Routing Information Protocol) para divulgar as redes privadas para o backbone público.
Figura 4-1.
Implementação do modo dinâmico do NAT
Figura 4-2 mostra um aplicativo do NAT no modo apenas estático. Nesse caso, o NAT está configurado para permitir que os hosts da rede pública acessem dois hosts UNIX na rede privada. Os endereços privados dos hosts são 10.33.96.10 e 10.33.96.30. A tabela de conversão de endereços de rede está configurada para converter esses endereços privados nos endereços IP públicos 198.76.28.11 e 198.76.28.31, respectivamente.
Quando o NAT está configurado dessa forma e pacotes de hosts públicos com um endereço de destino 198.76.28.11 ou 198.76.28.31 são recebidos pela interface habilitada pelo NAT no roteador NetWare, o NAT substitui o endereço de destino dos pacotes pelo endereço privado apropriado e reencaminha os pacotes para os hosts privados. Os pacotes de resposta dos hosts privados para os hosts públicos são submetidos à conversão inversa de endereços. Dessa forma, os hosts da rede pública podem acessar recursos específicos na rede privada, mas o acesso é limitado somente àqueles recursos que possuam seus endereços privados configurados na tabela de conversão de endereços de rede. Um host privado cujo endereço seja mapeado para um endereço público na tabela de conversão de endereços de rede também pode acessar qualquer host público.
NOTA: Quando o NAT é usado no modo estático com uma configuração multiacesso, o roteador público precisa ter uma rota estática para cada par de endereços definido na tabela de mapeamento estático do NAT. Se o NAT for usado com uma configuração ponto-a-ponto numerada, você não precisará configurar rotas estáticas de host.
IMPORTANTE: A interface habilitada pelo NAT precisa ser configurada de modo que nunca use o protocolo RIP (Routing Information Protocol) para divulgar as redes privadas para o backbone público.
Figura 4-2.
Implementação do modo estático do NAT
Os tipos de pacotes filtrados pela interface do NAT são determinados pelo modo em que o NAT está operando. O modo do NAT é configurado usando o parâmetro Status. Esse parâmetro apresenta quatro configurações possíveis: Desabilitado, Apenas Dinâmico, Estático e Dinâmico e Apenas Estático. Para obter maiores informações sobre como configurar os parâmetros do NAT, consulte Configuração e gerenciamento do Gateway IP da Novell e NAT
Se uma interface habilitada pelo NAT estiver configurada como Desabilitado, todos os pacotes que chegarem e que saírem serão passados sem qualquer modificação para a porta ou o endereço IP de origem ou de destino. Essa é a configuração padrão.
Se uma interface habilitada para o NAT estiver configurada para Dynamic Only (Apenas Dinâmico), as regras de filtragem serão as seguintes:
NOTA: O NAT converte qualquer pacote externo que passe pela interface. Se uma rede privada tiver endereços IP registrados e não registrados, os endereços IP registrados serão convertidos no endereço registrado configurado para a interface do NAT.
Se uma interface habilitada para o NAT estiver configurada para Estático e Dinâmico, as regras de filtragem serão as seguintes:
Se uma interface habilitada para o NAT estiver configurada para Apenas Estático, as regras de filtragem serão as seguintes:
NOTA: Com a configuração de filtros para uma interface habilitada pelo NAT, pode-se criar uma conversão estática segura, permitindo o acesso a partir da rede pública somente de serviços, hosts e redes especificados.
Para obter maiores informações sobre como configurar filtros, consulte Configuração e gerenciamento do filtro de pacotes
Ao configurar mapeamentos de conversão de endereços em uma tabela de conversão estática de endereços de rede, considere o seguinte:
Para determinar qual endereço IP precisará ser atribuído a hosts privados quando o NAT for usado, utilize as diretrizes no RFC 1918. Em resumo, o RFC 1918 explica que o IANA (Internet Assigned Numbers Authority) reservou esses três blocos de espaço IP para internets privadas:
10.0.0.0 a 10.255.255.255 (prefixo 10/8)172.16.0.0 a 172.31.255.255 (prefixo 172.16/12)192.168.0.0 a 192.168.255.255 (prefixo 192.168/16)
O primeiro bloco é considerado um bloco de 24 bits, o segundo é considerado um bloco de 20 bits e o terceiro é considerado um bloco de 16 bits. Note que o primeiro bloco é um número de rede de classe A individual, o segundo bloco é um conjunto de 16 números de rede consecutivos de classe B e o terceiro bloco é um conjunto de 256 números de rede consecutivos de classe C. Como os roteadores de backbone da Internet possuem filtros que os impedem de reencaminharem pacotes para esses endereços de rede, o uso dos endereços proporciona uma proteção adicional para os hosts privados ocultos pelo Gateway IP da Novell ou pelo NAT nos casos em que o gateway, o NAT ou o firewall estiver funcionando mal ou estiver configurado incorretamente. No entanto, os roteadores usados por alguns provedores Internet talvez não tenham filtros para esses endereços, permitindo, assim, que qualquer host IP fora da sua rede que use o mesmo provedor Internet acesse seus hosts privados.
Uma empresa pode utilizar os números de rede do espaço de endereços descrito no RFC 1918 sem qualquer coordenação com o IANA ou um registro da Internet. Por isso, os números de rede podem ser usados por muitas empresas. Os endereços dentro desse espaço privado precisam ser únicos dentro da mesma empresa ou dentro do conjunto de empresas que optarem por compartilhar o espaço de endereços para se comunicarem entre si usando sua internetwork privada.
O multihoming descreve a condição onde vários endereços IP na mesma rede estão vinculados a uma interface de rede individual. Os endereços IP diferentes do primeiro endereço vinculado à interface de rede são ditos endereços IP secundários.
O uso mais comum dos endereços IP secundários na mesma interface de rede é para um servidor Web individual operar como se fosse vários servidores Web. Um endereço IP secundário diferente pode apontar para uma página diferente no mesmo servidor Web, dependendo do nome de domínio do DNS que seja usado para acessar o servidor.
O multihoming costuma ser usado com um NAT que esteja sendo executado no modo estático, serviços de proxy e VPNs. Em todos os casos, os endereços IP secundários são configurados em uma interface de rede que já tem um endereço IP primário vinculado a ela.
Quando várias interfaces são configuradas em um servidor, o endereço secundário é associado à interface que possui o mesmo endereço de rede vinculado a ela, ou seja, as partes de rede dos dois endereços IP são correspondentes. Se você tentar configurar um endereço secundário que não seja válido em nenhuma das redes vinculadas às interfaces existentes, o endereço será rejeitado e uma mensagem de erro aparecerá no console do servidor.
Quando o multihoming é usado com o NAT ou com serviços de proxy ou VPNs, os endereços secundários precisam ser configurados manualmente, conforme descrito em Configuração e gerenciamento do Gateway IP da Novell e NAT
O NAT (Network Address Translation) apresenta as seguintes limitações: