Académique Documents
Professionnel Documents
Culture Documents
Masquerade
O firewall NAT action=masquerade é uma subversão exclusiva do action=srcnat, foi
projetado para uso específico em situações em que o IP público pode ser alterado aleatoriamente,
por exemplo, o servidor DHCP o altera ou o túnel PPPoE após a desconexão obtém um IP diferente,
enfim - quando o IP público é dinâmico.
Toda vez que a interface é desconectada e/ou seu endereço IP é alterado, o roteador limpa todas as
entradas de rastreamento de conexão mascaradas (masqueraded connection tracking entries) que
enviam pacotes dessa interface, melhorando assim o tempo de recuperação do sistema após a
alteração do endereço IP público.
Infelizmente, isso pode levar a alguns problemas quando action=masquerade é usado em
configurações com links/conexões instáveis que são roteados por um link diferente quando o
primário está desativado. Nesse cenário, as seguintes coisas podem acontecer:
• ao desconectar, todas as entradas de rastreamento de conexão relacionadas são eliminadas;
• o próximo pacote de todas as conexões limpas (previously masqueraded - anteriormente
mascaradas) entrará no firewall como connection-state=new e, se a interface
principal não estiver de volta, o pacote será roteado por rota alternativa (se houver), criando
assim uma nova conexão;
• O link primário volta e o roteamento é restaurado; portanto, os pacotes que pertencem às
conexões existentes são enviados pela interface primária sem serem mascarados, vazando IP
locais para uma rede pública.
Você pode solucionar isso criando uma rota blackhole (buraco negro) como alternativa à rota que
pode desaparecer ao se desconectar.
Quando action=srcnat é usado, as entradas de rastreamento de conexão permanecem e as
conexões podem simplesmente continuar.