nftables (parte 6) - NAT (introdução)
Uma das características do nftables é a sua capacidade de traduzir endereços
de rede (NAT), o que permite a manipulação do tráfego de rede, essencial para
cenários de rede complexos. A funcionalidade NAT dentro do nftables é
organizada em tipos distintos que servem a diferentes propósitos na
arquitetura de rede, cada operando em pontos específicos no canal de
processamento de pacotes. Estes recursos permitem a implementação de padrões
de rede complexos, incluindo mascaramento de IP, encaminhamento de porta e
interceptação de tráfego, tudo por meio da sintaxe que mantém a consistência
com a estrutura de regras mais ampla do nftables, ao mesmo tempo em que
oferece recursos de transformação de rede.
O processo de mascaramento e o NAT de origem (SNAT - Source NAT) representam duas técnicas relacionadas para modificar o endereço de origem dos pacotes de saída, embora sirvam para casos de uso ligeiramente diferentes. O processo de mascaramento usa automaticamente o endereço IP da interface de saída como origem, tornando-o ideal para ambientes dinâmicos, como redes de clientes, onde o IP público pode mudar com frequência. Em contrapartida, o SNAT tradicional requer a especificação explícita do endereço IP de origem, proporcionando um controlo mais preciso para ambientes de servidor estáveis com IPs públicos fixos. Ambas operações ocorrem normalmente na cadeia pós-roteamento (postrouting), garantindo que a tradução do endereço de origem aconteça imediatamente antes dos pacotes saírem do sistema, tornando-as perfeitamente adequadas para permitir que vários dispositivos internos partilhem um único endereço IP público.
O NAT de destino (DNAT - Destination NAT) opera na direcção oposta, reescreve o endereço de destino e/ou a porta dos pacotes recebidos para redirecioná-los para diferentes hosts ou serviços internos. Este mecanismo forma a base para o encaminhamento de porta, o balanceamento de carga e a exposição de serviços internos a redes externas de maneira controlada. As regras DNAT são normalmente aplicadas na cadeia de pré-roteamento (prerouting), de forma a permitir que a tradução ocorra antes que decisões de roteamento sejam tomadas, o que ganrante que pacotes sejam direcionados correctamente para o seu novo destino. Casos de uso comuns incluem o encaminhamento do tráfego web externo na porta 80 para um servidor web interno ou o redirecionamento de conexões SSH para um host de gerenciamento específico dentro de uma rede privada.
A acção de redirecionamento (redirect) funciona como uma forma especializada de DNAT que redireciona automaticamente o tráfego para a máquina local, usando a interface de entrada como endereço de destino e, potencialmente, modificando a porta de destino. Uma funcionalidade usada em configurações de proxy, interceptação de portas e serviços que precisam capturar tráfego originalmente destinado a outros sistemas. Assim como o DNAT, operações de redirecionamento são implementadas na cadeia de pré-roteamento e fornecem uma abordagem simplificada para a captura de tráfego, sem exigir configurações de roteamento complexas.
Estes tipos de NAT formam um kit de ferramentas completo para gerir o fluxo de tráfego de rede de forma a permitir tudo, desde a partilha da Internet até a gestão do tráfego no nível do aplicativo dentro do ecossistema nftables.
O processo de mascaramento e o NAT de origem (SNAT - Source NAT) representam duas técnicas relacionadas para modificar o endereço de origem dos pacotes de saída, embora sirvam para casos de uso ligeiramente diferentes. O processo de mascaramento usa automaticamente o endereço IP da interface de saída como origem, tornando-o ideal para ambientes dinâmicos, como redes de clientes, onde o IP público pode mudar com frequência. Em contrapartida, o SNAT tradicional requer a especificação explícita do endereço IP de origem, proporcionando um controlo mais preciso para ambientes de servidor estáveis com IPs públicos fixos. Ambas operações ocorrem normalmente na cadeia pós-roteamento (postrouting), garantindo que a tradução do endereço de origem aconteça imediatamente antes dos pacotes saírem do sistema, tornando-as perfeitamente adequadas para permitir que vários dispositivos internos partilhem um único endereço IP público.
O NAT de destino (DNAT - Destination NAT) opera na direcção oposta, reescreve o endereço de destino e/ou a porta dos pacotes recebidos para redirecioná-los para diferentes hosts ou serviços internos. Este mecanismo forma a base para o encaminhamento de porta, o balanceamento de carga e a exposição de serviços internos a redes externas de maneira controlada. As regras DNAT são normalmente aplicadas na cadeia de pré-roteamento (prerouting), de forma a permitir que a tradução ocorra antes que decisões de roteamento sejam tomadas, o que ganrante que pacotes sejam direcionados correctamente para o seu novo destino. Casos de uso comuns incluem o encaminhamento do tráfego web externo na porta 80 para um servidor web interno ou o redirecionamento de conexões SSH para um host de gerenciamento específico dentro de uma rede privada.
A acção de redirecionamento (redirect) funciona como uma forma especializada de DNAT que redireciona automaticamente o tráfego para a máquina local, usando a interface de entrada como endereço de destino e, potencialmente, modificando a porta de destino. Uma funcionalidade usada em configurações de proxy, interceptação de portas e serviços que precisam capturar tráfego originalmente destinado a outros sistemas. Assim como o DNAT, operações de redirecionamento são implementadas na cadeia de pré-roteamento e fornecem uma abordagem simplificada para a captura de tráfego, sem exigir configurações de roteamento complexas.
Estes tipos de NAT formam um kit de ferramentas completo para gerir o fluxo de tráfego de rede de forma a permitir tudo, desde a partilha da Internet até a gestão do tráfego no nível do aplicativo dentro do ecossistema nftables.
Comentários