Sim tem essa regra considerando todo o restando dos protocolos. O problema mesmo é que o bendito ICMT Type 11 não retorna a interface que deveria....
Achei isso na documentação do Ipfilter/Ipnat do NetBSD. *ICMPIDMAP* ICMP messages can be divided into two groups: "errors" and "queries". ICMP errors are generated as a response of another IP packet. IP Filter will take care that ICMP errors that are the response of a NAT-ed IP packet are handled properly. Mais isso não é o que está acontecendo, a menos que eu precise de alguma regra de filtragem no Ipfilter... On Fri, Jun 24, 2016 at 6:17 PM Eduardo Schoedler <lis...@esds.com.br> wrote: > Em 24 de junho de 2016 15:53, Otavio Augusto <otavi...@gmail.com> > escreveu: > > Em 24 de junho de 2016 15:33, Márcio Elias <marcioel...@gmail.com> > escreveu: > >> Pessoal, alguém está utilizando o IPNAT no FreeBSD para fazer NAT? > >> > >> Configurei um servidor com vários IP's públicos para atender a muitos > >> clientes (uma espécie de CGNat para o ISP que trabalho). > >> > >> Setei um range de portas TCP/UDP para cada IP privado, para poder > >> identificar usuários caso necessário e tudo funcionou muito bem, alias, > >> quase tudo. > >> > >> Estou tendo um problema com o traceroute, os pacotes ICMP Type 11 não > >> retornam a interface com o IP privado atras do NAT, chegam na interface > >> pública mais não são traduzidos corretamente. > >> > >> O resultado é, em um traceroute para o endereço 8.8.8.8 partindo de um > PC > >> atras desse servidor de NAT eu vejo os hops até o servidor de nat, tenho > >> timeout nos demais e finalmente recebo o retorno do último hop, já que > esse > >> não é um TTL Exceeded. > >> > >> Pode ser até maquiagem, uma vez que não reparei nenhum outro problema > sério > >> nesses tipos de conexões, mais gostaria muito de solucionar isso. > >> > >> Alguém usando algo parecido ou com algum knowhow sobre esse ambiente > para > >> dar um auxilio? > >> ------------------------- > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > Quando vc setá um range de portas para cada ip invalido vc taz nat de > > tcp e udp agora vc precisa de uma regra para icmp. > > Coloque uma regra única de icmp para cada ip publico fazendo nat para > > os ips que devem sair por este ip. > > Márcio, > > Além de TCP / UDP / ICMP, não esqueça o restante dos protocolos... ex: > GRE, ESP, AH, L2TP, etc... > Faça uma regra final considerando o NAT do restante todo. > > Att, > > > -- > Eduardo Schoedler > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd