Netstat-nat
COLUNA
Charly Kühnast
Sem a tradução de endereços de rede (NAT) em várias LANs, os endereços IPv4 já teriam
terminado há anos. Mesmo assim, é bom verificar o que passa por suas conexões NAT.
por Charly Kühnast
D
o ponto de vista topológico, as LANs são a falha
oculta da Internet. Muitas máquinas públicas
na verdade são gateways atrás dos quais qualquer
quantidade de computadores com IPs privados pode residir. O Network Address Translation, ou NAT, assegura
que os computadores sem um IP público ainda consigam acessar a Internet. Entretanto, o NAT não contribui
muito com a visibilidade em redes do ponto de vista do
administrador, o que explica por que fico feliz em ter o
Netstat-nat[1] em minha caixa de ferramentas.
O pequeno programa em C – disponível nos formatos
tar.gz, RPM e Deb – mostra o status de conexões do
NAT bisbilhotando os dados de conexão que o iptables escreve em /proc/net/ip_conntrack*. Na Internet,
a saída do Netstat-nat pode ficar poluída, mas várias
opções ajudam a tornar a ferramenta menos verbosa;
por exemplo, o Netstat-nat suporta uma categorização
grosseira por tipo de protocolo. Digitar:
netstat-nat -p tcp
por exemplo, esconde as conexões UDP; isso restringe
a saída às conexões TCP. Além disso, usar as opções -S
e -D mostra a origem ou o destino das conexões NAT,
respectivamente. Um NAT de origem (SNAT) converte endereços internos, que geralmente ficam na área
da RFC 1918, como 192.168.0.0/16, para endereços IP
públicos válidos. Roteadores DSL para pequenas redes
domésticas e escritórios pequenos usam SNAT. O NAT
de destino (DNAT) funciona da outra forma.
Fatos
Os comandos a seguir mostram se um computador
específico na rede mascarada está atualmente estabelecendo uma conexão através do gateway NAT:
netstat-nat -s nome
A variável nome pode ser um IP ou nome de máquina que possa ser resolvido. Isso também funciona na direção inversa – usar o parâmetro -d nome
mostra os computadores que sejam destinos de
conexões NAT.
Mas e as conexões que não passam através de um
gateway NAT, como a minha conexão SSH com o
gateway? O comando a seguir mostra uma saída
como a da figura 1:
netstat-nat -L -n
O parâmetro -n impede a resolução de nomes
de máquina e porta. Embora isso ainda não esteja implementado neste momento, seria útil mandar a ferramenta resolver os nomes de máquinas
e portas. Um |cat -b ao final de comandos cujas
saídas sejam longas é interessante, pois facilita a
verificação de quantas páginas passaram sem você
ter conseguido lê-las. ■
Mais informações
[1] Netstat-nat:
http://tweegy.demon.nl/projects/netstat-nat/
Sobre o autor
Figura 1 A opção -L -n faz o Netstat-nat exibir as conexões que não
Charly Kühnast é administrador de sistemas
Unix no datacenter Moers, perto do famoso rio
Reno, na Alemanha. Lá ele cuida, principalmente, dos firewalls.
passam pelo gateway NAT.
10
http://www.linuxmagazine.com.br
A Plug In preparou um anúncio
totalmente dedicado à sua empresa.
Servidores dedicados por apenas
R$
790
mês
Características do Servidor dedicado:
Dell Power Edge 860
Dual Core 1.8 GHz
2x146 GB (SAS) de Disco
4 GB DDR de Memória
�����������������������
2 Mbps de Banda
������������������������������������
�����������������������������������
São Paulo:
(11) 3305- 3700
Rio de Janeiro:
(21) 4003-1001
Porto Alegre:
(51) 3123-1700
Demais Localidades: 0800 881 1001
Powered by
Contrate online:
www.plugin.net.br
,00