Cursos / Redes de Computadores / Redes de Computadores I / Aula

arrow_back Aula 10 - Tradução de Endereços de Rede - NAT

Configurando o NAT

Vamos agora configurar um roteador Linux real para realizar NAT. Utilizaremos uma rede bem parecida com a mostrada na Figura 10, com a diferença que a máquina da internet será uma máquina da rede conectada ao IP público do roteador. A Figura 11 mostra a rede de testes. O endereço IP da rede conectada na interface eth0 do roteador é 10.1.1.0 com máscara 255.255.255.0. O endereço IP da rede conectada na interface eth1 do roteador é 200.1.1.0 com máscara 255.255.255.0.

Rede de testes para configuração do NAT

Netfilter e iptables

O Linux possui uma arquitetura de rede chamada Netfilter, que permite a criação de programas que analisem os pacotes à medida que eles são processados pela máquina. O Netfilter define pontos fixos (chamados hooks, ou ganchos) no caminho do pacote dentro do sistema operacional, de modo que os pacotes podem ser analisados e processados por uma aplicação definida pelo usuário. Uma aplicação pode simplesmente dizer se o pacote deve continuar sendo processado ou se deve ser descartado, mas pode também alterar alguma informação no pacote como, por exemplo, um endereço IP. Isso é a base para a definição de um firewall e do mecanismo de NAT.

Já existe no Linux uma aplicação para realizar essas operações que acabamos de citar. Ela se chama iptables e é o software de firewall mais usado no Linux. Nesta aula, usaremos o iptables apenas para realizar as operações de NAT. Você estudará em detalhes o que é um firewall na disciplina Segurança de Redes. Por enquanto, basta você saber que o firewall é um programa instalado no roteador que pode controlar quais pacotes podem passar por ele. O firewall poderia dizer, por exemplo, que a máquina B não pode se comunicar com a máquina C. Desse modo o roteador iria descartar todos os pacotes que B enviasse para C.

Veja aqui a explicação em vídeo sobre o Netfilter

Como dissemos antes, nesta aula, estamos interessados em aprender apenas como o NAT funciona e, por isso, nós não vamos configurar nenhum tipo de controle sobre quais pacotes passam pelo roteador. Ou seja, o roteador deixará passar todos os pacotes que receber. A Figura 12 mostra as máquinas A e B enviando ping para a máquina D. Como o NAT não está ativo no roteador, podemos ver que os pacotes capturados em C possuem os IPs de origem reais das máquinas A e B, que são 10.1.1.2 e 10.1.1.3, respectivamente.

Máquina D recebendo pacotes de A e B sem o NAT estar ativo no roteador

Versão 5.3 - Todos os Direitos reservados