[GTER] IPs válidos x Falsos

Lao DanTong danton at inexo.com.br
Tue Feb 1 11:06:23 -02 2005


On Tue, 1 Feb 2005, Rodrigo Resende wrote:

> Onde eu faço estágio, nós possuimos uma rede com 5
> classes C, são IPs válidos com um DNS local onde
> fazemos cadastro dos IPs, etc.
> A idéia é mudar isto e começar a trabalhar com IPs
> falsos, só que estas mudanças tem que acontecer aos
> poucos devido a própria estrutura daqui.

se vocês tem IPs "verdadeiros" em estoque suficientes para a rede, não 
vejo qualquer motivo para passarem para endereços BCP-5. É ilusão achar 
que você vai estar mais seguro atrás de um NAT, até porque atualmente o 
grosso dos ataques ocorre na camada de aplicação.

Usando endereços BCP-5 você perde em traçabilidade e "debugabilidade" de 
tua rede. se algum de teus usuários aprontar alguma macaquice lá fora vai 
ser difícil saber quem foi. resumindo, meu conselho é não faça isso se não 
tiver um motivo realmente muito bom para fazê-lo.

> A primeira duvida é:
> -Eu posso trabalhar como está hoje mas com IPs válidos
> e falsos na mesma rede?

sim. voce pode ter mesmo dois endereços na mesma interface física (se 
estiver usando um sistema operacional de verdade).

> - Trabalhar com NAT eu terei a meu ver um problema
> pois todas as máquinas estariam saindo apenas por um
> local e eu criaria a meu ver um gargalo em minha rede
> devido ao tamanho de nossa rede, falei besteira?

depende da tua conexão com o resto do mundo. se for da ordem de uns poucos 
Mbps o gargalo não será significativo. Mas sem NAT você tem exatamente o 
mesmo problema, só que seu roteador para fora terá um pouco menos de 
trabalho porque não precisará reescrever cabeçalhos de pacotes IP.

> - Eu poderia criar um dns para trabalhar com estes IPs
> falsos.

sim. o Bind tem o conceito de 'views', que permite que um mesmo servidor 
tenha comportamentos distintos quando visto por uma interface ou por 
outra.


More information about the gter mailing list