MINISTRIO DA EDUCAO

SECRETARIA DE EDUCAO PROFISSIONAL E TECNOLGICA

INSTITUTO FEDERAL DE EDUCAO, CINCIA E TECNOLOGIA
CAMPUS SO JOS SANTA CATARINA

Administrao de Redes
Redes e Sub-redes

Prof. Gustavo M. de Arajo/Juliana C. Incio

gustavo.araujo@sj.cefetsc.edu.br

NAT Network Address Translation

Motivao:

Escassez de endereamento IPv4 devido ao:

o

Crescimento da quantidade de dispositivos

ligados rede. PDAs, smartphones, consoles
de jogos (PS3,XBOX, etc.).
Quantidade de sub-redes para enderear
dispositivos diversos em escritrios, desde
de computadores, como cmeras IP.

NAT Network Address Translation

Viso geral:
Vantagens:
o
o
o

rede local usa apenas um endereo IP no que se

refere ao mundo exterior.
pode mudar os endereos dos dispositivos na
rede local sem notificar o mundo exterior.
pode mudar de ISP (Internet Service Provider)
sem alterar os endereos dos dispositivos na
rede local
dispositivos dentro da rede local no precisam
ser explicitamente endereveis ou visveis pelo
mundo exterior (uma questo de segurana).

NAT Network Address Translation

Viso geral:

Desvantagens (Ferem regras da IETF):

o
o
o

A porta tem a finalidade de enderear processo

e no o hospedeiro.
Viola a regra que roteadores s devem
processar pacotes at a terceira camada.
Viola comunicao Fim-a-Fim: hospedeiros
devem falar diretamente uns com os outros sem
interferncia.
Se o problema falta de endereo, por que
ento no utilizar IPv6?

NAT Network Address Translation

NAT Network Address Translation

Responsabilidades do Servidor NAT:
Substituio de endereamento:
o

o
o

No envio, substituir o endereo IP de

origem (IP NAT + Porta) para IPv4 + Nova
porta.
Na recepo, substituir o endereo IPv4 +
porta nova para IP NAT + porta.
Manter a tabela NAT: relacionar
hospedeiros destinos.

NAT Network Address Translation

NAT Network Address Translation

Configurao NAT com Ubuntu:
Componentes NAT:
o

PREROUTING: utilizado para analisar os

pacotes que esto entrando no kernel para
sofrerem NAT. Permite a troca de endereo
destino do datagrama.
POSTROUTING: utilizado para analisar os que
esto saindo kernel, aps sofrerem NAT.
Permite a troca do endereo de origem do
datagrama.
OUTPUT: utilizada para analisar pacotes que
so gerados na prpria mquina e iro sofrer
NAT. Tambm permite a troca de endereo
destino.

NAT Network Address Translation

Configurao com Iptables:

# Limpa todas as regras do filtro e a tabela NAT

o iptables flush
o iptables --table nat flush
o iptables delete-chain
o iptables --table nat delete-chain (limpa todos os chains no
padres.)

NAT Network Address Translation

Configurao com Iptables:

# Configura IPFORWORDING e MASQUERADING

(mascaramento da origem)
o iptables --table nat --append POSTROUTING --outinterface eth0 -j MASQUERADE
o iptables --append FORWARD --in-interface eth1 -j ACCEPT

# Habilita pacotes enviar pelo kernel

o echo 1 > /proc/sys/net/ipv4/ip_forward

# Salva configurao:
o service iptables restart

10

NAT Network Address Translation

Configurao com Iptables:

# Teste:
o Ping 192.168.x.x # ping np gateway.

# acesso externo:
o ping google.com

11

NAT Network Address Translation

Outros comandos com Iptables:

Redirecionar todos os pacotes destinados porta 80 da maquina

10.0.0.2 para mquina 172.20.0.1. necessrio especificar o
protocolo:
o Iptables -t nat -A PREROUTING -t nat -p tcp -d 10.0.0.2
dport 80 -j DNAT to 172.20.0.1

Qualquer pocate TCP destinado a qualquer porta da mquina

10.0.0.10 ser desviado para maquina 10.0.0.1
o Iptables -t nat -A OUTPUT -p tcp -d 10.0.0.10 -j DNAT to
10.0.0.1

12

NAT Network Address Translation

Outros comandos com Iptables:

Essa regra faz com que todos os pacotes que iro sair pela
interface eth0 tenham o seu endereo de origem alterado para
200.20.0.1
o Iptables -t nat -A POSROUTING o eth0 -j SNAT -to
200.20.0.1

Todos os pacotes que entrarem pela eth0 sero enviados para

mquina 127.20.0.1
o Iptables -t nat -A PREROUTING -i eth0 -j DNAT -to
172.20.0.1

13