Mudanças entre as edições de "NATs"

 
(6 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 1: Linha 1:
 
==='''Introdução'''===
 
==='''Introdução'''===
<br>Esse documento descreve boas praticas de como criar NAT's para viabilizar a comunicação entre servidor e o cliente.</br>
+
<br>Esse documento descreve boas praticas de como criar NAT's para viabilizar a comunicação entre servidor e o cliente.<br>
 
==='''Nat Masquerade'''===
 
==='''Nat Masquerade'''===
<br>O src-nat serve para fazer com que endereços da rede privada saim para a internet utilizando apenas um o IP do roteador que esta fazendo NAT. Basicamente os computadores fazem requizição para o roteador por um IP privador (Ex: 192.168.0.105), esse se encarrega de alterar o IP que sai para internet, um IP valido (Ex: 45.x.x.x). Assim os "clientes" atras desse roteador conseguem navegar a internet. Porem se não especificarmos em qual redes, ou interfaces será feito essa regra, o Router ira adicionar a regra para tudo, podendo causar problemas em alguns serviços como o sistema da IXCsoft.</br>
+
<br>O src-nat serve para fazer com que endereços da rede privada saim para a internet utilizando apenas um o IP do roteador que esta fazendo NAT. Basicamente os computadores fazem requizição para o roteador por um IP privador (Ex: 192.168.0.105), esse se encarrega de alterar o IP que sai para internet, um IP valido (Ex: 45.x.x.x). Assim os "clientes" atras desse roteador conseguem navegar a internet. Porem se não especificarmos em qual redes, ou interfaces será feito essa regra, o Router ira adicionar a regra para tudo, podendo causar problemas em alguns serviços como o sistema da IXCsoft.<br>
 
==='''Erros mais comum'''===
 
==='''Erros mais comum'''===
<br> Essa regra que irei mostrar a seguir é um erro bem comum, uma regra genérica que esta errada. Essa regra que é configurada em: ''''IP -> Firewall -> NAT''' e aplica somente o '''Chain''' como srcnat e em '''Action''' seleciona o masquerade.</br><br> Segue a imagem para visualização:</br>
+
<br> Essa regra que irei mostrar a seguir é um erro bem comum, uma regra genérica que esta errada. Essa regra que é configurada em: ''''IP > Firewall > NAT''' e aplica somente o '''Chain''' como srcnat e em '''Action''' seleciona o masquerade.<br><br> Segue a imagem para visualização:<br>
 
<blockquote> '''CHAIN'''</blockquote>[[File:sr.png|centro|674x674px|semmoldura]]
 
<blockquote> '''CHAIN'''</blockquote>[[File:sr.png|centro|674x674px|semmoldura]]
 
<blockquote> '''ACTION'''</blockquote>
 
<blockquote> '''ACTION'''</blockquote>
Linha 10: Linha 10:
 
<blockquote> '''Na lista de NAT'''<blockquote>
 
<blockquote> '''Na lista de NAT'''<blockquote>
 
[[File:2020-09-16_07-55.png|centro|674x674px|semmoldura]]
 
[[File:2020-09-16_07-55.png|centro|674x674px|semmoldura]]
<br> Com essa regra você vai conseguir navegar para internet, porem esta fazendo NAT de tudo, então quando você acessar um rádio, algum equipamento ou software você esta sendo mascarado, qualquer coisa que passar pela RB vai ser mascarado. É por isso que precisar ser especificado essa regra, pois além de quebrar a comunicação fim a fim você esta aumento o processamento da sua RB</br>
+
<br> Com essa regra você vai conseguir navegar para internet, porem esta fazendo NAT de tudo, então quando você acessar um rádio, algum equipamento ou software você esta sendo mascarado, qualquer coisa que passar pela RB vai ser mascarado. É por isso que precisar ser especificado essa regra, pois além de quebrar a comunicação fim a fim você esta aumento o processamento da sua RB<br>
 
==='''Especificações NAT RULE'''===
 
==='''Especificações NAT RULE'''===
<br> Listando os campos básicos, onde podemos especificar, identificar melhor nosso mascaramento.</br>
+
<br> Listando os campos básicos, onde podemos especificar, identificar melhor nosso mascaramento.<br>
<br>'''General'''</br><br> Na Aba General será listado as configurações gerais no NAT.</br>
+
<br>'''General'''<br><br> Na Aba General será listado as configurações gerais no NAT.<br>
<blockquote>'''Src.Address:''' Endereço de Rede ou IP que deseja mascarar. OBS: Também é possivel marcar a caixa de exceção ao lado do IP (!).</blockquote><blockquote>'''Dst.Address:''' Endereço de Destino. OBS: Possível marcar uma exceção para quando o destino for esse IP não fazer NAT.</blockquote><br> Segue a imagem para melhor visualização</br>[[File:w1.png|centro|674x674px|semmoldura]] <blockquote>'''Protocolo: ''' Protocolo que vai ser usado.</blockquote><blockquote>'''In.Interface:''' Identifica interface de Entrada.</blockquote><blockquote>'''Out.Interface:''' Identifica a interface de saida.</blockquote><blockquote>'''In.Interface List:''' Se configurado uma lista de interface de entrada, nesse campo que adicionaremos.</blockquote><blockquote>'''Out.Interface List:''' Lista de interface de saída.</blockquote><br>'''Advanced'''</br><br> Aba onde terá as configurações avançadas.</br>
+
<blockquote>'''Src.Address:''' Endereço de Rede ou IP que deseja mascarar. OBS: Também é possivel marcar a caixa de exceção ao lado do IP (!).</blockquote><blockquote>'''Dst.Address:''' Endereço de Destino. OBS: Possível marcar uma exceção para quando o destino for esse IP não fazer NAT.</blockquote><br> Segue a imagem para melhor visualização<br>[[File:w1.png|centro|674x674px|semmoldura]] <blockquote>'''Protocolo: ''' Protocolo que vai ser usado.</blockquote><blockquote>'''In.Interface:''' Identifica interface de Entrada.</blockquote><blockquote>'''Out.Interface:''' Identifica a interface de saida.</blockquote><blockquote>'''In.Interface List:''' Se configurado uma lista de interface de entrada, nesse campo que adicionaremos.</blockquote><blockquote>'''Out.Interface List:''' Lista de interface de saída.</blockquote><br>'''Advanced'''<br><br> Aba onde terá as configurações avançadas.<br>
 
<blockquote>'''Src.Address List:''' Lista de endereços de destino.</blockquote><blockquote>'''Dst. Address List:''' Lista de IP's de Destino.</blockquote>
 
<blockquote>'''Src.Address List:''' Lista de endereços de destino.</blockquote><blockquote>'''Dst. Address List:''' Lista de IP's de Destino.</blockquote>
    '''  Analisado essas interfaces, você já consegue especificar e ter uma regra mais organizada, assim impedindo de ocorrer erros, como vou lhe mostrar no próximo item dessa wiki   
+
    '''  Analisado essas interfaces, você já consegue especificar e ter uma regra mais organizada, assim impedindo de ocorrer erros, como vou lhe mostrar no próximo item dessa wiki  '''
     '''
+
      
 +
==='''Identificando o Masquerade'''===
 +
<br> Atualmente é possível ver os logs do freeradius através do sistema IXCsoft, onde ira aparece os logs de autenticação ou tentativa de autenticação. No sistema o log será apresentando com a seguinte mensagem: '''Error: Ignoring request to auth address * port 1812 bound to server default from unknown client "ip_nat" port 42812 proto udp'''. Isso significa que o sistema não reconhece esse IP, pois não tem nenhum concentrador com esse IP cadastrado no sistema, por isso esta ignorando a requisição que esta chegando pela porta 1812 no IP "ip_nat". Segue a imagem:<br>
 +
[[File:igno.png|centro|674x674px|semmoldura]]<blockquote> '''OBS''' Em seu concentrador ira aparecer nos logs o erro como '''timeout'''</blockquote><br><br> '''E como corrigir esse problema?'''<br><blockquote> Seguindo essa wiki e especificando qual interface ou rede quer aplicar a regra de src-nat, ou aplicando apenas uma exceção para quando o destino for o IP do seu sistema ele não fazer NAT consequentemente você conseguira resolver o problema.</blockquote>
 +
<br>
 +
 
 +
-
 +
 
 +
Voltar ao menu [[Segurança básica do servidor]]

Edição atual tal como às 15h14min de 19 de abril de 2021

Introdução


Esse documento descreve boas praticas de como criar NAT's para viabilizar a comunicação entre servidor e o cliente.

Nat Masquerade


O src-nat serve para fazer com que endereços da rede privada saim para a internet utilizando apenas um o IP do roteador que esta fazendo NAT. Basicamente os computadores fazem requizição para o roteador por um IP privador (Ex: 192.168.0.105), esse se encarrega de alterar o IP que sai para internet, um IP valido (Ex: 45.x.x.x). Assim os "clientes" atras desse roteador conseguem navegar a internet. Porem se não especificarmos em qual redes, ou interfaces será feito essa regra, o Router ira adicionar a regra para tudo, podendo causar problemas em alguns serviços como o sistema da IXCsoft.

Erros mais comum


Essa regra que irei mostrar a seguir é um erro bem comum, uma regra genérica que esta errada. Essa regra que é configurada em: 'IP > Firewall > NAT e aplica somente o Chain como srcnat e em Action seleciona o masquerade.

Segue a imagem para visualização:

CHAIN

Sr.png

ACTION

W2.png

Na lista de NAT

2020-09-16 07-55.png


Com essa regra você vai conseguir navegar para internet, porem esta fazendo NAT de tudo, então quando você acessar um rádio, algum equipamento ou software você esta sendo mascarado, qualquer coisa que passar pela RB vai ser mascarado. É por isso que precisar ser especificado essa regra, pois além de quebrar a comunicação fim a fim você esta aumento o processamento da sua RB

Especificações NAT RULE


Listando os campos básicos, onde podemos especificar, identificar melhor nosso mascaramento.

General

Na Aba General será listado as configurações gerais no NAT.

Src.Address: Endereço de Rede ou IP que deseja mascarar. OBS: Também é possivel marcar a caixa de exceção ao lado do IP (!).

Dst.Address: Endereço de Destino. OBS: Possível marcar uma exceção para quando o destino for esse IP não fazer NAT.


Segue a imagem para melhor visualização

W1.png

Protocolo: Protocolo que vai ser usado.

In.Interface: Identifica interface de Entrada.

Out.Interface: Identifica a interface de saida.

In.Interface List: Se configurado uma lista de interface de entrada, nesse campo que adicionaremos.

Out.Interface List: Lista de interface de saída.


Advanced

Aba onde terá as configurações avançadas.

Src.Address List: Lista de endereços de destino.

Dst. Address List: Lista de IP's de Destino.

    Analisado essas interfaces, você já consegue especificar e ter uma regra mais organizada, assim impedindo de ocorrer erros, como vou lhe mostrar no próximo item dessa wiki  
   

Identificando o Masquerade


Atualmente é possível ver os logs do freeradius através do sistema IXCsoft, onde ira aparece os logs de autenticação ou tentativa de autenticação. No sistema o log será apresentando com a seguinte mensagem: Error: Ignoring request to auth address * port 1812 bound to server default from unknown client "ip_nat" port 42812 proto udp. Isso significa que o sistema não reconhece esse IP, pois não tem nenhum concentrador com esse IP cadastrado no sistema, por isso esta ignorando a requisição que esta chegando pela porta 1812 no IP "ip_nat". Segue a imagem:

Igno.png

OBS Em seu concentrador ira aparecer nos logs o erro como timeout



E como corrigir esse problema?

Seguindo essa wiki e especificando qual interface ou rede quer aplicar a regra de src-nat, ou aplicando apenas uma exceção para quando o destino for o IP do seu sistema ele não fazer NAT consequentemente você conseguira resolver o problema.


-

Voltar ao menu Segurança básica do servidor