NAT

A conversão de endereços de rede (Network Address Translation) é um padrão da Internet que

permite que hosts em redes locais usem um conjunto de endereços IP para comunicações internas e
outro conjunto de endereços IP para comunicações externas.
Uma LAN que usa NAT é chamada de natted network (rede natted ). Para que o NAT funcione,
deve haver um gateway NAT em cada rede natted. O gateway NAT (NAT router - roteador NAT)
executa a reescrita do endereço IP na maneira como um pacote viaja: a partir da LAN (source NAT
ou srcnat) ou para a LAN (destination NAT ou dstnat).
• source NAT ou srcnat. Esse tipo de NAT é realizado em pacotes originários de uma rede
natted. Um roteador NAT substitui o endereço de origem privado de um pacote IP por um
novo endereço IP público à medida que viaja pelo roteador. Uma operação reversa é aplicada
aos pacotes de resposta que viajam na outra direção.
• destination NAT ou dstnat. Esse tipo de NAT é realizado em pacotes destinados à rede
natted. É mais comumente usado para fazer com que hosts em uma rede privada sejam
acessíveis pela Internet. Um roteador NAT executando dstnat substitui o endereço IP de
destino de um pacote IP à medida que viaja pelo roteador em direção a uma rede privada.
Os hosts por trás de um roteador habilitado para NAT não têm conectividade de ponta a ponta
verdadeira. Portanto, alguns protocolos da Internet podem não funcionar em cenários com NAT. Os
serviços que requerem o início da conexão TCP de fora da rede privada ou de protocolos sem
estado, como o UDP, podem ser interrompidos. Além disso, alguns protocolos são inerentemente
incompatíveis com o NAT, um exemplo ousado é o protocolo AH do conjunto IPsec.
Para superar essas limitações, o RouterOS inclui vários chamados auxiliares de NAT , que permitem
a travessia de NAT para vários protocolos (MIKROTIK, 2019).

Masquerade
O firewall NAT action=masquerade é uma subversão exclusiva do action=srcnat, foi
projetado para uso específico em situações em que o IP público pode ser alterado aleatoriamente,
por exemplo, o servidor DHCP o altera ou o túnel PPPoE após a desconexão obtém um IP diferente,
enfim - quando o IP público é dinâmico.
Toda vez que a interface é desconectada e/ou seu endereço IP é alterado, o roteador limpa todas as
entradas de rastreamento de conexão mascaradas (masqueraded connection tracking entries) que
enviam pacotes dessa interface, melhorando assim o tempo de recuperação do sistema após a
alteração do endereço IP público.
Infelizmente, isso pode levar a alguns problemas quando action=masquerade é usado em
configurações com links/conexões instáveis que são roteados por um link diferente quando o
primário está desativado. Nesse cenário, as seguintes coisas podem acontecer:
• ao desconectar, todas as entradas de rastreamento de conexão relacionadas são eliminadas;
• o próximo pacote de todas as conexões limpas (previously masqueraded - anteriormente
mascaradas) entrará no firewall como connection-state=new e, se a interface
 principal não estiver de volta, o pacote será roteado por rota alternativa (se houver), criando
assim uma nova conexão;
• O link primário volta e o roteamento é restaurado; portanto, os pacotes que pertencem às
conexões existentes são enviados pela interface primária sem serem mascarados, vazando IP
locais para uma rede pública.
Você pode solucionar isso criando uma rota blackhole (buraco negro) como alternativa à rota que
pode desaparecer ao se desconectar.
Quando action=srcnat é usado, as entradas de rastreamento de conexão permanecem e as
conexões podem simplesmente continuar.