Após configurar o NAT para a rede, consulte as seguintes seções para obter informações sobre diretrizes e ferramentas de resolução de problemas:

• "Diretrizes de Resolução de Problemas"
• "Ferramentas de Resolução de Problemas"

Diretrizes de Resolução de Problemas

Para obter as diretrizes de resolução de problemas, selecione uma das seguintes categorias que se aplique à sua implementação do NAT:

• "Geral"
• "Modo Estático"
• "Modo Dinâmico"
• "Multihoming"
• "Aplicativos Não-Suportados"

Geral

As seguintes informações se aplicam a todos os modos de operação do NAT:

• O NAT não protege completamente sua rede privada de intrusões. O NAT oculta a topologia da rede privada, mas os hosts privados ainda são acessíveis a partir da rede pública. A rede privada pode ter segurança através da adição de alguns filtros em nível de pacote ou rede que só permitem que alguns hosts ou redes acessem o servidor NAT. O registro do filtro pode ser utilizado para detectar intrusões potenciais.

• Para converter endereços para os hosts IP, pode ser utilizado o Gateway IP da Novell^® ou o NAT. No entanto, para permitir que os hosts IPX^TM (Internet Packet Exchange^TM) acessem a Internet, só pode ser utilizado o Gateway IP da Novell. Para os hosts IP, o NAT tem uma vantagem de performance sobre o Gateway IP da Novell, pois ele exige menos overhead de protocolo. Porém, o NAT não pode ser utilizado para restringir o acesso em nível de nome de usuário --- o endereço IP do usuário deve ser conhecido para restringir o acesso. O Gateway IP da Novell deve ser utilizado para restringir o acesso aos serviços IP com base em direitos de controle de acesso. O Gateway IP da Novell utiliza o banco de dados do NDS^TM para restringir o acesso em nível de usuário.

• Para permitir que os serviços TCP/IP executados localmente no servidor Novell BorderManager^TM sejam acessíveis, o acesso do modo dinâmico do NAT deve estar habilitado. Se, por algum motivo, esse comando SET foi desabilitado, digite o seguinte comando no console do servidor:

  SET NAT DYNAMIC MODE TO PASS THRU=ON

• Todas as estações de trabalho e hosts que utilizam o NAT para acessar a Internet devem ter uma rota padrão, um gateway padrão ou uma rota estática que aponte para o endereço IP da interface do NAT conectada ao segmento dessas estações de trabalho ou hosts da rede privada. Caso contrário, os pacotes não serão convertidos e roteados para a Internet.

• A opção IP Packet Forwarding (Reencaminhamento de Pacotes IP) deve estar habilitada para utilizar o NAT. Carregue o NIASCFG e selecione Configure NIAS (Configurar NIAS) > Protocols and Routing (Protocolos e Roteamento) > Protocolos > TCP/IP.

• O NAT não pode ser utilizado a menos que, pelo menos, duas interfaces estejam configuradas no roteador.

• O NAT pode ser utilizado em qualquer interface configurada no INETCFG e que utilize um endereço IP. No entanto, as interfaces dial-up do NetWare^® Connect^TM herdadas configuradas através do NWCCON e links WAN não-numerados não podem ser utilizados.

• A conversão de endereços ocorre antes que os pacotes sejam filtrados ou roteados. Toda a filtragem é executada nos pacotes com endereços convertidos.

• O NAT não pode ser utilizado para fornecer links redundantes com um ISP (Internet Service Provider), pois o roteador de backup não possui a tabela de conversão do roteador ativo. Se o roteador primário falhar e o roteador de backup assumir o controle, o tempo de espera das conexões feitas pelo NAT terminará e essas conexões falharão.

Modo Estático

Se você configurou o NAT para o modo apenas estático ou para a combinação dos modos estático e dinâmico, considere o seguinte:

• Quando utilizar o NAT no modo dinâmico, você não poderá emitir o comando ping entre um host privado e um host público, a menos que o endereço IP do host privado seja configurado na tabela NAT.
• Quando configurar o NAT no modo estático, não será necessário que você especifique uma máscara de subrede para os endereços IP na tabela do NAT. Para os endereços públicos, o NAT utiliza a máscara de subrede do endereço IP vinculada à interface pública. As máscaras de subrede para endereços privados não são necessárias, pois esses endereços são convertidos para os endereços públicos.
• Quando configurar o NAT no modo estático, você não pode mapear vários hosts privados para o mesmo endereço IP público. Para tornar vários hosts internos visíveis para a rede, utilize o multihoming. O multihoming permite que um sistema assuma vários endereços IP na mesma rede.

Modo Dinâmico

Se você configurou o NAT para o modo apenas dinâmico ou para a combinação dos modos estático e dinâmico, considere o seguinte:

• Você não pode utilizar o NAT no modo dinâmico quando a interface pública for uma conexão WAN não-numerada.
• Quando utilizar o NAT no modo dinâmico, você não poderá configurar um grupo selecionado de clientes para utilizar o NAT e permitir que outros clientes da mesma rede continuem a utilizar seus endereços IP atribuídos sem a conversão de endereço. Todas as comunicações enviadas por uma interface ativada pelo NAT são convertidas para utilizar o endereço público atribuído à interface. Os clientes da mesma rede só podem continuar a utilizar os próprios endereços IP se for utilizado o modo estático ou dinâmico. Para permitir que hosts específicos continuem a utilizar seus endereços IP atribuídos, os endereços públicos e privados desses hosts devem ser definidos para o mesmo valor da tabela de conversão de endereços de rede. Se os endereços públicos e privados corresponderem aos da tabela de conversão de endereços de rede, os endereços privados não serão mudados quando os pacotes forem convertidos. É necessário que todos os hosts que não possuem um mapeamento de endereço na tabela de conversão de endereços de rede utilizem o modo dinâmico. Seus endereços IP privados são convertidos para o endereço IP público compartilhado vinculado à interface NAT.

Multihoming

Se você configurou endereços IP secundários para a interface ativada pelo NAT, considere o seguinte:

• O multihoming deve ser utilizado com o NAT quando este for configurado para o modo apenas estático ou o modo estático e dinâmico.
• Quando o NAT é utilizado com o multihoming, o número de endereços secundários que você pode utilizar é limitado pela quantidade de memória disponível no servidor e o número de endereços IP disponíveis na rede.
• Para utilizar o multihoming, você deve ter o TCPIP.NLM 4.xx.

Aplicativos Não-Suportados

Se o NAT estiver sendo executado na rede e alguns aplicativos TCP/IP não estiverem funcionando apropriadamente, considere as seguintes limitações:

• O NAT não suporta consultas DNS (Domain Name System) a um servidor DNS privado se as consultas forem originadas em uma rede pública. Essas consultas não são suportadas, pois o NAT não converte no momento os endereços que aparecem em respostas DNS para pesquisas de nomes (consultas "A"). Portanto, se um host público enviar uma pesquisa de nome para um servidor DNS privado e o servidor responder com um endereço privado, o NAT não poderá converter o endereço privado embutido na resposta para o endereço público correspondente.
• O NAT não suporta o SNMP (Simple Network Management Protocol), pois os endereços IP privados contidos nos dados de um pacote SNMP não podem ser convertidos. Portanto, os dados contidos em um pacote SNMP revelam os endereços IP privados da rede para as estações de gerenciamento SNMP públicas.
• Para restringir o acesso aos servidores de e-mail SMTP (Simple Mail Transfer Protocol) ou POP3 (Post Office Protocol 3) internos, utilize o NAT junto com a filtragem IP para hosts específicos para que apenas os hosts públicos especificados possam acessar os servidores de e-mail na rede privada.
• O NAT suporta o RealAudio no modo TCP, mas não no modo UDP (o padrão). Esse é caso padrão do RealAudio em um ambiente de firewall.

Ferramentas de Resolução de Problemas

Em geral, as ferramentas de resolução de problemas utilizadas para analisar filtros de pacotes também podem ser utilizadas para resolver problemas do NAT.

As seguintes ferramentas são úteis:

• PING --- Utilize este utilitário de servidor para verificar endereços IP divulgados. Se você puder emitir o comando ping para um endereço privado, a conversão de endereços de rede não estará funcionando apropriadamente.
• TCPCON --- Utilize este utilitário de servidor para verificar as tabelas de roteamento IP.
• IPTRACE --- Utilize este utilitário para identificar a rota de um pacote TCP/IP.
• Detectores de pacote --- Utilize os detectores de pacote para capturar pacotes TCP/IP e analisar seus cabeçalhos de origem e destino para determinar se a conversão de endereços está ocorrendo.

Para obter maiores informações sobre essas ferramentas, consulte Configuração e Gerenciamento do Filtro de Pacotes.