O Gateway IP da Novell e o NAT são explicados nas seguintes seções:
Para acessar a Internet, cada host deve usar um endereço IP (registrado) único globalmente, obtido a partir de um ISP (Internet Service Provider) ou de um registro de endereços da Internet, como o IANA (Internet Assigned Numbers Authority). A menos que você esteja solicitando muitos endereços, um ISP deverá ser capaz de acomodar suas necessidades de endereçamento.
No entanto, como talvez seja caro ou inviável obter endereços IP registrados para todos os hosts de sua rede, talvez você prefira não atribuir endereços registrados a cada host na sua rede privada, usando uma das duas soluções no nível do circuito fornecidas com o software Novell BorderManagerTM: o Gateway IP da Novell e o NAT.
O Gateway IP da Novell e o NAT são considerados soluções no nível do circuito porque podem estabelecer conexões com a Internet usando endereços IP registrados em nome de vários hosts da rede privada aos quais não foram atribuídos esses endereços. O circuito (ou conexão) original de um host é terminado na interface do gateway ou do NAT, a qual estabelece a conexão real com a Internet para esse host. Por isso, vários hosts podem compartilhar o mesmo endereço IP registrado se ele for atribuído à interface do Gateway IP da Novell ou do NAT e os endereços IP da rede privada forem basicamente ocultados da Internet.
Esta seção descreve o funcionamento do Gateway IP da Novell e os clientes que são suportados. Também são fornecidas informações adicionais sobre:
O Gateway IP da Novell reencaminha pedidos de clientes privados Windows para vários recursos da Internet. No processo, o gateway usa um endereço IP registrado em vez do endereço IP ou do endereço IPXTM (Internetwork Packet ExchangeTM) privado do cliente para se comunicar com o recurso da Internet. Essa substituição de endereços permite que os clientes acessem a Internet sem mudar seus endereços privados e oculta da Internet os endereços da rede privada.
NOTA: Os clientes Windows que são suportados pelo Gateway IP da Novell são o Windows NT 4.0, Windows 98, Windows 95 e Windows 3.1.
Os clientes SOCKS 4 e SOCKS 5 também são suportados pelo Gateway IP da Novell. Esse serviço permite que qualquer cliente SOCKS use o Gateway IP da Novell como gateway padrão para a Internet.
O Gateway IP da Novell implementa o controle de acesso de usuários, obtendo as informações armazenadas no banco de dados do NDSTM para gerenciar a conectividade com a Internet. O controle de acesso baseado no NDS pode ser usado para evitar que usuários especificados acessem a Internet ou para evitar que usuários em geral acessem determinados sites ou serviços da Internet. Você pode criar objetos Usuário do NDS para usuários de aplicativos SOCKS, de modo que o Gateway IP da Novell possa controlar os destinos ou serviços que os usuários do SOCKS acessam através do gateway em determinado momento.
Se usar o Administrador do NetWare® para configurar e monitorar o Gateway IP da Novell, você poderá restringir o tráfego TCP ou UDP a determinadas portas e endereços IP, mudar a porta de serviço de gateway, monitorar a utilização do gateway, examinar o registro do servidor de gateway e coletar dados estatísticos relacionados à utilização do gateway em um período de tempo específico.
Tanto os clientes da Novell baseados no Windows que usem IPX ou IP como os clientes SOCKS podem acessar a Internet (ou outras redes TCP/IP) através do Gateway IP da Novell. Isso acontece porque o Gateway IP da Novell pode fornecer qualquer um destes ou todos estes três serviços:
O serviço que será ativado depende de a sua rede suportar ou não clientes Windows IPX, clientes Windows IP ou clientes não-Windows SOCKS, ou alguma combinação desses clientes. Os requisitos específicos da diretiva de segurança também devem ser considerados.
Um Gateway IP da Novell que tenha sido ativado para uma rede não precisa ser usado por todos os clientes dessa rede. A interface do cliente Windows permite que um usuário ative e desative o recurso do cliente para usar o Gateway IP da Novell. O uso que cada cliente faz do gateway pode ser ativado independentemente dos outros clientes da rede. No entanto, quando a configuração do cliente é mudada, a estação de trabalho deve ser reinicializada para que a mudança surta efeito. Em geral, a configuração do cliente SOCKS exige o endereço IP ou nome do host do DNS do servidor do Gateway IP da Novell para direcionar o cliente a usar o Gateway IP da Novell. O recurso que permite ao cliente SOCKS usar o Gateway IP da Novell é desativado se essas informações são removidas dos parâmetros de configuração.
Para obter informações sobre o procedimento de ativar ou desativar a utilização do Gateway IP da Novell de um cliente, consulte o manual Configuração e Gerenciamento do Gateway IP da Novell e NAT.
Por padrão, os clientes de Gateway IP da Novell estão com o recurso de proxy transparente do cliente de gateway ativado. Após um usuário logar no NDS, o cliente de gateway localiza imediatamente todos os servidores proxy que o usuário tem permissão para acessar. Durante uma sessão subseqüente do browser, o cliente de gateway intercepta os pacotes HTTP usando a porta TCP/IP 80 e envia-os diretamente para o primeiro proxy HTTP que encontrar no NDS, em vez de enviá-los para o Gateway IP da Novell. Como esse recurso está incorporado ao componente do gateway do Novell Client, o administrador não precisa fazer qualquer configuração adicional.
NOTA: Não confunda o recurso de proxy transparente do cliente de gateway com o recurso de proxy transparente do proxy HTTP. Para que o recurso de proxy transparente do proxy HTTP esteja ativado, um administrador deve ativá-lo no Administrador do NetWare. Quando o proxy transparente está ativado para proxy HTTP, o TCPIP.NLM que está sendo executado no servidor BorderManager intercepta os pacotes HTTP enviados a partir do browser de uma estação de trabalho e os direciona para o proxy HTTP em execução no mesmo servidor. O browser não precisa ser configurado para usar um proxy manual. No entanto, o servidor proxy deve estar no caminho de roteamento IP da estação de trabalho.
Para obter maiores informações sobre o proxy transparente HTTP, consulte o Capítulo 5, "Visão Geral e Planejamento do Recurso Serviços de Proxy".
Os clientes que estão usando serviços SOCKS 5 ou gateway IPX/IP podem tirar proveito da autenticação de logon único. O serviço de gateway IP/IP não suporta a autenticação de logon único.
A autenticação de logon único permite aos clientes logarem no NDS somente uma vez para usarem o serviço SOCKS 5 ou gateway IPX/IP. Se um usuário já estiver logado no NDS e tentar acessar recursos através do Gateway IP da Novell, a autenticação do NDS pelo gateway será feita em background. Sem o logon único, seria mostrado um quadro de diálogo para os usuários digitarem o nome de usuário e a senha toda vez que estabelecessem uma nova conexão com o gateway.
Para que o logon único funcione, as condições a seguir devem ser atendidas:
O logon único ocorre na porta 3024 do servidor. Se o logon único foi ativado no mesmo servidor BorderManager para o Gateway IP da Novell e para o recurso Serviços de Proxy, é necessária somente uma autenticação de background para que um usuário possa usar esses dois serviços. Isso acontece porque a porta 3024 é uma porta compartilhada.
IMPORTANTE: Para que o logon único funcione, os firewalls de filtragem de pacotes no caminho de roteamento entre um cliente de gateway ou de proxy e um servidor BorderManager devem permitir a passagem dos pacotes designados para a porta 3024.
Para obter informações sobre como ativar o logon único para clientes do Gateway IP da Novell, consulte o manual Configuração e Gerenciamento do Gateway IP da Novell e NAT. Para obter informações sobre como ativar o logon único para autenticação do proxy, consulte o manual Configuração e Gerenciamento dos Serviços de Proxy.
O NAT converte endereços IP privados em endereços IP registrados. Essa conversão de endereços proporciona vantagens semelhantes às do Gateway IP da Novell. O NAT permite que clientes privados acessem a Internet sem a reconfiguração dos respectivos endereços privados e, ao mesmo tempo, oculta da Internet os endereços da rede privada.
No entanto, o NAT não requer o Windows nem o Novell Client para Windows. Como o NAT opera em uma interface de roteador de rede, o recurso de conversão de endereços da interface pode ser usado pelos hosts da rede que estão em execução em qualquer plataforma, inclusive o Windows, Macintosh, UNIX e OS/2. Se esses hosts enviarem seus pacotes TCP/IP através da interface do NAT, seus endereços IP de origem não serão reencaminhados nos cabeçalhos dos pacotes TCP/IP.
Além da conversão de endereços, o NAT pode ser usado para proporcionar outras vantagens, como a filtragem de pacotes baseada no endereço IP para segurança de rede avançada. Quando uma interface de rede está configurada para usar o NAT em qualquer um dos três modos de operação, conforme descrito na seção "Selecionar um Modo de Operação do NAT", cada pacote TCP/IP que chegar à interface terá seu endereço IP de origem ou de destino examinado. Para obter maiores informações sobre como o NAT filtra os pacotes com base nos endereços de origem e de destino, consulte "Regras de Filtragem".
Como o Gateway IP da Novell e o NAT apresentam uma funcionalidade semelhante, você deve decidir se usará uma solução ou outra.
O Gateway IP da Novell é uma melhor opção nas seguintes condições:
O componente de gateway IPX/IP do Gateway IP da Novell é a única opção de conversão de endereços de rede para clientes IPX.
O NAT é uma melhor opção nas seguintes condições:
Como o Gateway IP da Novell suporta somente clientes IP baseados no Windows, outros clientes da rede precisam usar o NAT.
O NAT funciona mais rápido do que o Gateway IP da Novell porque requer menos overhead de protocolo para operar.
Além disso, o NAT não é afetado pelos problemas do NDS. Se um usuário não conseguir logar no NDS, o acesso através do Gateway IP da Novell poderá atrasar. Como o NAT verifica somente os endereços IP nos cabeçalhos dos pacotes TCP/IP, sua operação não depende da disponibilidade do NDS.
NOTA: Embora talvez você tenha outros motivos para usar uma solução e não a outra, podem ocorrer também situações em que desejaria implementar as duas soluções na sua rede.