1 / 25

Endereçamento Privado Proxy e NAT

Endereçamento Privado Proxy e NAT. Motivação para o Endereçamento IP Privado. Crescimento do IPv4 07/2007 490 milhões de hosts 01/2008 542 milhões de hosts IPv4 permite endereçar 4 bilhões de hosts. PREVISÃO INICIAL = 1994. Autoridades de Registro de Endereço. IANA. ARIN. RIPE NCC.

iria
Download Presentation

Endereçamento Privado Proxy e NAT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Endereçamento PrivadoProxy e NAT

  2. Motivação para o Endereçamento IP Privado • Crescimento do IPv4 • 07/2007 490 milhões de hosts • 01/2008 542 milhões de hosts • IPv4 permite endereçar 4 bilhões de hosts. PREVISÃO INICIAL = 1994

  3. Autoridades de Registro de Endereço IANA ARIN RIPE NCC AfriNIC LACNIC APNIC América do Norte Europa, Oriente e Asia Central Africa América Latina e Caribe Ásia e Pacífico

  4. Endereços Privados: RFC 1918

  5. IPv4 IPv4 Tipos de Hosts (RFC 1918) categoria III categoria I categoria II tradutor de IP NAT

  6. IPv4 Roteador Interno e Gateway Default gateway default (não roteia IP privado) ip publico ip publico ip publico 2 ip publico ip privado ip privado 1 ip privado (roteador interno) roteia IP privado

  7. IPv4 Endereços e Roteamento 200.0.0.2 200.0.0.3 200.0.0.4 2 200.0.0.1 192.168.0.2 192.168.0.3 1 192.168.0.1 192.168.0.0/24 via direta 200.0.0.0/24 via direta 0.0.0.0/0 via provedor 200.0.0.0/24 via direta

  8. IPv4 Hosts Categoria 2 roteador com NAT se ip_origem = 192.168.0.0/24 traduzir para 200.1.0.1 200.0.0.2 200.0.0.3 200.0.0.4 2 200.0.0.1 200.1.0.1 192.168.0.2 192.168.0.3 1 192.168.0.1 192.168.0.0/24 via direta 200.0.0.0/24 via direta 0.0.0.0/0 via provedor 200.0.0.0/24 via direta

  9. NAT e NAPT NAT IPprivado1 IPpúblico1 IPprivado2 IPpúblico2 IPpúblico3 IPprivado3 NAPT IPpúblico1:Porta1 IPprivado1 IPprivado2 IPpúblico1:Porta2 IPprivado3 IPpúblico1:Porta3

  10. SNAT e DNAT Interface de Entrada Interface de Saída Pré-Roteamento [DNAT] Pós-Roteamento [SNAT] roteamento decisão sobre o encaminhamento do pacote

  11. SNAT: Network Address Translation 1 192.168.0.2 60.1.2.3 checksum1 2 210.0.0.1 60.1.2.3 checksum2 3 60.1.2.3 210.0.0.1 checksum3 4 60.1.2.3 192.168.0.2 checksum4 tabela de mapeamento 192.168.0.2 60.1.2.3 192.168.0.2 = 210.0.0.1 192.168.0.3 = 210.0.0.2 192.168.0.1 IPv4 Privado IPv4 Network 210.0.0.1 to 210.0.0.10 192.168.0.3

  12. SNAT no Linux • Altera qualquer endereço de origem para 210.0.0.1 • iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 210.0.0.1 • Altera o endereço de origem usando IPs do range 210.0.0.1 até 210.0.0.10 • iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 210.0.0.1 até 210.0.0.10 • Aplica a ação de MASQUERADE • iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  13. IPv4 SNAPT (Network Address and Port Translation) IP Privado:Porta Origem 192.168.0.2 :1024 192.168.0.2 :1026 192.168.0.3 :1024 192.168.0.4 :1025 IP Público:Porta Origem 210.0.0.1 :1024 210.0.0.1 :1026 210.0.0.1 :1025 210.0.0.1 :1027 request reply clientes 1024 1026 192.168.0.2 1024 1025 1026 1024 192.168.0.3 1027 Endereço IP Público 210.0.0.1 servidor 1025 192.168.0.4

  14. SNAPT no Linux • O Linux implementa SNAPT sempre que necessário de forma automática, mas mantém a troca das portas no interior de classes: • Portasabaixo de 512 • Portas entre 512 and 1023 • Portasacima de 1024 • Altera o endereço de origem para 210.0.0.1, usando as portas 1024-65535 • iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1024-65535

  15. IPv4 Mapeamentos Reversos: DNAT servidores IP Privado:Porta Destino 192.168.0.2 :80 192.168.0.2 :25 192.168.0.3 :80 192.168.0.4 :22 IP Público:Porta Destino 210.0.0.1 :80 210.0.0.1 :25 210.0.0.1 :8080 210.0.0.1 :8081 reply request 80 25 192.168.0.2 80 25 8080 80 192.168.0.1 8081 192.168.0.3 Endereço IP Público 210.0.0.1 espec.ppgia.pucpr.br cliente 22 192.168.0.4

  16. DNAT no Linux • Redireciona pacotes recebidos na porta 8080 para o IP 192.168.0.3 e porta 80. • iptables -t nat -A PREROUTING -p tcp --dport 8080 -i eth0 -j DNAT --to 192.168.0.2:80 • Envia pacotes web (port-80) para a porta do squid (proxy transparente) • iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 • Altera os endereços de destino para 192.168.0.2 até 192.168.0.5, através de um processo de balanceamento de carga. • iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 192.168.0.2-192.168.0.5

  17. Problemas com o NAT PORT 192.168.0.2: 1025 PORT 192.168.0.2: 1025 1 192.168.0.2 60.1.2.3 2 210.0.0.1 60.1.2.3 3 60.1.2.3 192.168.0.2 payload tabela de mapeamento 192.168.0.2 60.1.2.3 192.168.0.2 = 210.0.0.1 192.168.0.1 IPv4 Privado IPv4 Network 210.0.0.1

  18. Servidor Proxy 192.168.0.2 60.1.2.3 1024 80 192.168.0.1 210.0.0.1 IPv4 Privado IPv4 Network NAT 192.168.0.2 60.1.2.3 1024 3128 1025 80 192.168.0.1 210.0.0.1 IPv4 Privado IPv4 Network Proxy

  19. Funcionamento do Proxy 192.168.0.2 192.168.0.1 1024 3128 GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n 192.168.0.2 60.1.2.3 1024 3128 1025 80 192.168.0.1 210.0.0.1 IPv4 Privado IPv4 Network Proxy 210.0.0.1 60.1.2.3 1025 80 GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n

  20. Proxy depende da Aplicação Seqüência de empacotamento aplicação Protocolo de Aplicação HTTP, FTP, SMTP, etc segmento TCP datagrama UDP TCP, UDP pacote IP Ethernet quadro http O proxy de aplicação precisa interpretar as informações do protocolo de aplicação (dispositivo de camada 7) ftp ssl

  21. IPv4 Mapeamento de Conexões pelo Proxy IP Privado:Porta Origem 192.168.0.2 :1024 192.168.0.2 :1026 192.168.0.3 :1024 192.168.0.4 :1025 IP Público:Porta Origem 210.0.0.3 :1024 210.0.0.3 :1026 210.0.0.3 :1025 210.0.0.3 :1027 request reply clientes 1024 1026 192.168.0.2 1024 1026 3128 1024 1025 1027 192.168.0.3 192.168.0.1 210.0.0.3 210.0.0.1 servidor 1025 192.168.0.4

  22. Outras Funções do Proxy de Aplicação Controle de acesso por login Filtragem de endereços e conteúdo. Cache de objetos Web Filtragem de Virus e Malware Proxy de Aplicação GET Cache HTTP/1.1 200 OK\r\n GET GET HTTP/1.1 304 Not Modified\r\n HTTP/1.1 200 OK\r\n

  23. IPv4 Proxy Socks userjamhourwantconnect to 60.1.2.3:80 requestgranted userjamhourwantbind to 60.1.2.3:80 bindon 210.0.0.3:4000 Proxy Socks 1024 4000 1080 cliente servidor 192.168.0.3 60.1.2.3 192.168.0.1 210.0.0.3

  24. IPv4 Proxy Socks configuração global para todos os aplicativos aplicação biblioteca sockets modificada S.O. proxy SOCKS TCP UDP servidor IP cliente protocolo SOCKS TCP ou UDP não modificado

  25. Conclusão

More Related