4. Tradução Rápida dos Kernels 2.0 e 2.2

Desculpe àqueles que ainda estão chocados com a transição do 2.0 (ipfwadm) para o 2.2 (ipchains). Tenho boas e más notícias.

Primeiro, você pode simplesmente continuar usando o ipchains e o ipfwadm como antes. Para isto, você precisa que o insmod carregue os módulos `ipchains.o' ou `ipfwadm' encontrados na última distribuição do netfilter. Estes são mutuamente exclusivos (você foi avisado), e não devem ser combinados com quaisquer outros módulos do netfilter.

Uma vez que estes módulos estejam instalados, você pode usar o ipchains e o ipfwadm normalmente, com as seguintes diferenças:

• A configuração de timeouts do mascaramento com ipchains -M -S, ou ipfwadm -M -s não faz nada. Uma vez que os timeouts naõ fazem mais parte da infraestrutura do novo NAT, isto não vai fazer diferença.
• Os campos init_seq, delta e previous_delta na listagem detalhada do mascaramento são sempre zero.
• Zerar e listar os contadores ao mesmo tempo com `-Z -L' não irá mais funcionar: os contadores não serão zerados.
• A camada de compatibilidade com versões anteriores não escala muito bem para um grande número de conexões: não use ela para seu gateway corporativo!

Os hackers também irão notar:

• Você pode agora ligar-se às portas 61000-65095 mesmo se você está fazendo mascaramento. O código de mascaramento assume que qualquer coisa neste intervalo é `fair game', assim os programas não pode usá-las.
• O hack (não documentado) `getsockname', que programas de proxy transpartente podem usar para descobrir o destino real das conexões não funciona mais.
• O hack (não documentado) `bind-to-foreign-address' também não está implementado; ele era usado para completar a ilusão de proxy transparente.

4.1 Eu só quero mascaramento! Socorro!

É isto o que a maioria das pessoas quer. Se você tem uma conexão IP PPP discada (e se você não sabe, este é você), você simplesmente quer dizer ao seu computador que todos os pacotes vindo de sua rede interna devem parecer estar vindo do computador que faz o PPP dialup.

# Load the NAT module (this pulls in all the others)
modprobe iptable_nat

# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Note que você não está fazendo qualquer filtro de pacotes aqui: para isso, veja o Filtro de Pacotes HOWTO: `Misturando NAT e Filtro de Pacotes'.

4.2 E sobre o ipmasqadm?

Este tem uma base de usuários muito menor, por isto eu não me preocupei muito com compatibilidade com o mesmo. Você pode simplesmente usar o `iptables -t nat' para fazer o repasse de portas. Assim, por exemplo, no Linux 2.2 você teria feito:

# Linux 2.2
# Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 80
ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80

Agora você deve fazer:

# Linux 2.4
# Append a rule before routing (-A PREROUTING) to the NAT table (-t nat) that
# TCP packets (-p tcp) going to 1.2.3.4 (-d 1.2.3.4) port 8080 (--dport 8080)
# have their destination mapped (-j DNAT) to 192.168.1.1, port 80
# (--to 19.168.1.1:80).
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 \
         -j DNAT --to 192.168.1.1:80