[GTER] Transparent Mode vs. NAT Mode

Danton Nunes danton.nunes at inexo.com.br
Wed Oct 6 15:08:36 -03 2010 

On Wed, 6 Oct 2010, Gustavo Moreira wrote:

> Danton,
> 
> Exato... transparente se coloca no layer 2 e NAT layer 3, ou seja, os IPs
> públicos são configurados no próprio firewall, que se encarrega de
> reescrever o cabeçalhos IP e TCP mandando-os para a rede interna a seguir,
> aquilo que os fabricantes chamam "virtual IP"... mas eu acho q vc já sabia
> disso...

NAT e filtragem de pacotes são coisas independentes. porisso meu estranhamento.

isso não serve para muita coisa. pode fazer algum sentido em IPv4 em pequenas 
redes, mas você mencionou que tem um /20, então é mais razoável que seus 
endereços internos sejam reais. Em IPv6 então, nem se fala.

há um terceiro modo, que vou chamar de roteador. O firewall (mais propriamente, 
filtro de pacotes) é um roteador, portanto em nível 3, mas não faz NAT algum. 
tanto dentro quanto fora os endereços são roteáveis. a vantagem óbvia é a 
traçabilidade, por exemplo, se um host teu está infeccionado com um spambot vai 
ser muito fácil identificá-lo a partir de uma reclamação, com NAT vai ser um 
perrengue fazer a associação entre o endereço IP virtual (que normalmente é 
pescado de um pool) com o endereço IP real da rede interna da máquina bichada.

há quem venda a idéia que NAT protege, mas isso é bobagem. hoje os ataques 
rolam mesmo na camada de processo, contra aquela peça que fica entre o assento 
e o teclado.

> Justamente por esse trabalho extra me incomoda a defesa do NAT, inclusive
> porque o considero uma verdadeira "gambi", um paliativo para alogar o
> inevitável, o IPv6, inclusive pq o NAT viola todos os padrões de protocolos
> (desde o finado ISO/OSI até o TCP/IP), por manipular/modificar duas camadas.

é uma gambi. e ISO/OSI não é finado porque nunca decolou de fato. pode ser 
abortado.

> Os defensores do NAT entendem que o ele pode exigir menos de hardware,
> porque não precisam verificar para qual porta os pacotes precisam ser
> encaminhados (???), mesmo desconsiderando que o NAT precisa manter a própria
> tabela de NAT de mapeamentos de porta TCP e reescrever todos os pacotes (que
> entram/saem da rede.

Sim, NAT tem que manter sua tabelinha. e tem que logar isso, senão adeus 
capacidade de traçar origens.

se tua rede interna tiver endereços roteáveis, esqueça NAT. é um trambolho, 
desperdício de recursos e só vai servir para obfuscar os endereços reais de 
máquinas contaminadas dentro da tua rede. Lembre-se que firewall tem que servir 
tanto para proteger tua rede contra os perigos do mundo quanto proteger o mundo 
dos perigos da tua rede.

More information about the gter mailing list