Fabrício L. Ribeiro wrote: > Agora vamos à minha dúvida: os pacotes encaminhados ao servidor DNS > através do DNAT no firewall chega com o IP de origem realmente > inalterado? Eu sei que, na teoria, o DNAT substitui apenas o endereço > de destino, mas o que eu quero é simplesmente eliminar a possibilidade > de que o servidor DNS esteja respondendo incorretamente por causa do > firewall, entendem?
Sim, o endereço de origem não é alterado. Uma maneira fácil de visualizar isso é utilizando um sniffer de pacotes, como por exemplo o tcpdump no Firewall e o Ethereal no servidor Win. Fiz um teste aqui para lhe mostar com mais clareza o que estou dizendo. Fiz um DNAT no Firewall redirecionando qualquer requisição na porta 8888 para um endereço do servidor interno. Fiquei monitorando via tcpdump essa conexão, tanto no firewall como no servidor interno. Olha só: No Firewall: [~]#tcpdump -n port 8888 Kernel filter, protocol ALL, TURBO mode (575 frames), datagram packet socket tcpdump: listening on all devices 13:39:50.020785 eth0 < 200..x.x.x.1639 > 200.1.1.1.8888: S 4065806282stamp 47452041 0,nop,wscale 1> (DF) [tos 0x10] 13:39:50.020827 eth2 > 200.x.x.x.1639 > 192.168.0.6.8888: S 4065806282:406p 47452041 0,nop,wscale 1> (DF) [tos 0x10] Como você pode ver, chegou uma requisiçao do endereço 200.x.x.x ao endereço 200.1.1.1 na porta 8888 e logo após ocorre o mascaramento, ou seja, uma requisição de 200.x.x.x ao endereço do servidor interno 192.168.0.6. Agora no Servidor interno: 12:40:46.221938 IP 200.x.x.x.1639 > 192.168.0.6.8888: S 4065806282:4065806282(0) win 5840 <mss 1460,sackOK,timestamp 47452041 0,nop,wscale 1> 12:40:46.222047 IP 192.168.0.6.8888 > 200.x.x.x.1639: R 0:0(0) ack 4065806283 win 0 Viu só? A conexão chega com endereço de origem inalterado. Espero ter sido claro. -- - Rodrigo de Lima Silva - rodrigolima82 [at] terra.com.br http://wiki.ubuntubrasil.org/RodrigoLima http://freelinuxblog.blogspot.com --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
