Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Eduardo Schoedler 
Em 24 de junho de 2016 15:53, Otavio Augusto  escreveu:
> Em 24 de junho de 2016 15:33, Márcio Elias  escreveu:
>> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
>>
>> Configurei um servidor com vários IP's públicos para atender a muitos
>> clientes (uma espécie de CGNat para o ISP que trabalho).
>>
>> Setei um range de portas TCP/UDP para cada IP privado, para poder
>> identificar usuários caso necessário e tudo funcionou muito bem, alias,
>> quase tudo.
>>
>> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
>> retornam a interface com o IP privado atras do NAT, chegam na interface
>> pública mais não são traduzidos corretamente.
>>
>> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
>> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
>> timeout nos demais e finalmente recebo o retorno do último hop, já que esse
>> não é um TTL Exceeded.
>>
>> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério
>> nesses tipos de conexões, mais gostaria muito de solucionar isso.
>>
>> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
>> dar um auxilio?
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.

Márcio,

Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex:
GRE, ESP, AH, L2TP, etc...
Faça uma regra final considerando o NAT do restante todo.

Att,


-- 
Eduardo Schoedler
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Márcio Elias 
Fiz, mais ainda assim não alterou o resultado final!!!

On Fri, Jun 24, 2016 at 5:27 PM Otavio Augusto  wrote:

> Em 24 de junho de 2016 17:17, Márcio Elias 
> escreveu:
> > Então, eu faço assim:
> >
> > map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
> > map INTF ip-privado -> ip-publico
> >
> > Desta forma ele faz o map na primeira regra para TCP/UDP usando o range
> de
> > portas, e demais protocolos na regra abaixo.
> >
> > Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
> > utilizando uma terceira regra para o restante, mais o resultado é o
> mesmo!
> >
> > On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto 
> wrote:
> >
> >> Em 24 de junho de 2016 15:33, Márcio Elias 
> >> escreveu:
> >> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >> >
> >> > Configurei um servidor com vários IP's públicos para atender a muitos
> >> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >> >
> >> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> >> > identificar usuários caso necessário e tudo funcionou muito bem,
> alias,
> >> > quase tudo.
> >> >
> >> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> >> > retornam a interface com o IP privado atras do NAT, chegam na
> interface
> >> > pública mais não são traduzidos corretamente.
> >> >
> >> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de
> um PC
> >> > atras desse servidor de NAT eu vejo os hops até o servidor de nat,
> tenho
> >> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> >> esse
> >> > não é um TTL Exceeded.
> >> >
> >> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> >> sério
> >> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >> >
> >> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente
> para
> >> > dar um auxilio?
> >> > -
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> >> tcp e udp agora vc precisa de uma regra para icmp.
> >> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> >> os ips que devem sair por este ip.
> >>
> >> --
> >> Otavio Augusto
> >> -
> >> Consultor de TI
> >> Citius Tecnologia
> >> 31 37761866
> >> 31 88651242
> >> http://www.citiustecnologia.com.br
> >> -
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Esperimenta colcoarr estes ips validos  em uma interface loopback .
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Otavio Augusto 
Em 24 de junho de 2016 17:17, Márcio Elias  escreveu:
> Então, eu faço assim:
>
> map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
> map INTF ip-privado -> ip-publico
>
> Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
> portas, e demais protocolos na regra abaixo.
>
> Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
> utilizando uma terceira regra para o restante, mais o resultado é o mesmo!
>
> On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto  wrote:
>
>> Em 24 de junho de 2016 15:33, Márcio Elias 
>> escreveu:
>> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
>> >
>> > Configurei um servidor com vários IP's públicos para atender a muitos
>> > clientes (uma espécie de CGNat para o ISP que trabalho).
>> >
>> > Setei um range de portas TCP/UDP para cada IP privado, para poder
>> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
>> > quase tudo.
>> >
>> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
>> > retornam a interface com o IP privado atras do NAT, chegam na interface
>> > pública mais não são traduzidos corretamente.
>> >
>> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
>> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
>> > timeout nos demais e finalmente recebo o retorno do último hop, já que
>> esse
>> > não é um TTL Exceeded.
>> >
>> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
>> sério
>> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
>> >
>> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
>> > dar um auxilio?
>> > -
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>> Quando vc setá um range de portas para cada ip invalido vc taz nat de
>> tcp e udp agora vc precisa de uma regra para icmp.
>> Coloque uma regra única de icmp para cada ip publico fazendo nat para
>> os ips que devem sair por este ip.
>>
>> --
>> Otavio Augusto
>> -
>> Consultor de TI
>> Citius Tecnologia
>> 31 37761866
>> 31 88651242
>> http://www.citiustecnologia.com.br
>> -
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Esperimenta colcoarr estes ips validos  em uma interface loopback .
-- 
Otavio Augusto
-
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Márcio Elias 
Então, eu faço assim:

map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
map INTF ip-privado -> ip-publico

Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
portas, e demais protocolos na regra abaixo.

Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
utilizando uma terceira regra para o restante, mais o resultado é o mesmo!

On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto  wrote:

> Em 24 de junho de 2016 15:33, Márcio Elias 
> escreveu:
> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >
> > Configurei um servidor com vários IP's públicos para atender a muitos
> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >
> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
> > quase tudo.
> >
> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> > retornam a interface com o IP privado atras do NAT, chegam na interface
> > pública mais não são traduzidos corretamente.
> >
> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> esse
> > não é um TTL Exceeded.
> >
> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> sério
> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >
> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
> > dar um auxilio?
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.
>
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Márcio Elias 
Então, eu faço assim:

map INTF ip-privado -> ip-publico portmap tcp/udp 2000:5000
map INTF ip-privado -> ip-publico

Desta forma ele faz o map na primeira regra para TCP/UDP usando o range de
portas, e demais protocolos na regra abaixo.

Já tentei reescrever a segunda regra acrescentando o protocolo ICMP e
utilizando uma terceira regra para o restante, mais o resultado é o mesmo!

On Fri, Jun 24, 2016 at 3:53 PM Otavio Augusto  wrote:

> Em 24 de junho de 2016 15:33, Márcio Elias 
> escreveu:
> > Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
> >
> > Configurei um servidor com vários IP's públicos para atender a muitos
> > clientes (uma espécie de CGNat para o ISP que trabalho).
> >
> > Setei um range de portas TCP/UDP para cada IP privado, para poder
> > identificar usuários caso necessário e tudo funcionou muito bem, alias,
> > quase tudo.
> >
> > Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> > retornam a interface com o IP privado atras do NAT, chegam na interface
> > pública mais não são traduzidos corretamente.
> >
> > O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
> > atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
> > timeout nos demais e finalmente recebo o retorno do último hop, já que
> esse
> > não é um TTL Exceeded.
> >
> > Pode ser até maquiagem, uma vez que não reparei nenhum outro problema
> sério
> > nesses tipos de conexões, mais gostaria muito de solucionar isso.
> >
> > Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
> > dar um auxilio?
> > -
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> Quando vc setá um range de portas para cada ip invalido vc taz nat de
> tcp e udp agora vc precisa de uma regra para icmp.
> Coloque uma regra única de icmp para cada ip publico fazendo nat para
> os ips que devem sair por este ip.
>
> --
> Otavio Augusto
> -
> Consultor de TI
> Citius Tecnologia
> 31 37761866
> 31 88651242
> http://www.citiustecnologia.com.br
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Otavio Augusto 
Em 24 de junho de 2016 15:33, Márcio Elias  escreveu:
> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?
>
> Configurei um servidor com vários IP's públicos para atender a muitos
> clientes (uma espécie de CGNat para o ISP que trabalho).
>
> Setei um range de portas TCP/UDP para cada IP privado, para poder
> identificar usuários caso necessário e tudo funcionou muito bem, alias,
> quase tudo.
>
> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
> retornam a interface com o IP privado atras do NAT, chegam na interface
> pública mais não são traduzidos corretamente.
>
> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
> timeout nos demais e finalmente recebo o retorno do último hop, já que esse
> não é um TTL Exceeded.
>
> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério
> nesses tipos de conexões, mais gostaria muito de solucionar isso.
>
> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
> dar um auxilio?
> -
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Quando vc setá um range de portas para cada ip invalido vc taz nat de
tcp e udp agora vc precisa de uma regra para icmp.
Coloque uma regra única de icmp para cada ip publico fazendo nat para
os ips que devem sair por este ip.

-- 
Otavio Augusto
-
Consultor de TI
Citius Tecnologia
31 37761866
31 88651242
http://www.citiustecnologia.com.br
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] IPNAT vs Traceroute

2016-06-24 Por tôpico Márcio Elias 
Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT?

Configurei um servidor com vários IP's públicos para atender a muitos
clientes (uma espécie de CGNat para o ISP que trabalho).

Setei um range de portas TCP/UDP para cada IP privado, para poder
identificar usuários caso necessário e tudo funcionou muito bem, alias,
quase tudo.

Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não
retornam a interface com o IP privado atras do NAT, chegam na interface
pública mais não são traduzidos corretamente.

O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um PC
atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho
timeout nos demais e finalmente recebo o retorno do último hop, já que esse
não é um TTL Exceeded.

Pode ser até maquiagem, uma vez que não reparei nenhum outro problema sério
nesses tipos de conexões, mais gostaria muito de solucionar isso.

Alguém usando algo parecido ou com algum knowhow sobre esse ambiente para
dar um auxilio?
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd