Pré-Requisitos: Conhecimento básico de redes e de Internet.
Metodologia: Habilitação e configuração do NAT.
Técnica: Descrição e exemplos práticos, passo-a-passo.

Entendendo como funciona o NAT.

Vamos inicialmente entender exatamente qual a função do ICS e em que situações ele é indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereços IP. Conforme descrito no Capítulo 2, cada computador que acessa a Internet deve ter o protocolo TCP/IP configurado. Para isso, cada computador da rede interna, precisaria de um endereço IP válido na Internet. Não haveria endereços IP suficiente. A criação do NAT veio para solucionar esta questão.(ou pelo menos fornecer uma alternativa até que o IP v6 esteja disponível e em uso na maioria dos sistemas da Internet). Com o uso do NAT, os computadores da rede Interna, utilizam os chamados endereços Privados. Os endereços privados não são válidos na Internet, isto é, pacotes que tenham como origem ou como destino, um endereço na faixa dos endereços privados, não serão encaminhados, serão descartados pelos roteadores. O software dos roteadores está configurado para descartar pacotes com origem ou destino dentro das faixas de endereços IP privados. As faixas de endereços privados são definidas na RFC 1597 e estão indicados a seguir:

• 10.0.0.0                 ->         10.255.255.255
• 172.16.0.0             ->         172.31.255.255
• 192.168.0.0           ->         192.168.255.255

Existem algumas questões que devem estar surgindo na cabeça do amigo leitor. Como por exemplo: Qual a vantagem do uso dos endereços privados? O que isso tem a ver com o NAT? Muito bem, vamos esclarecer estas questões.

Pelo fato de os endereços privados não poderem ser utilizados diretamente na Internet, isso permite que várias empresas utilizem os endereços privados, como esquema de endereçamento da sua rede interna. Ou seja, qualquer empresa pode utilizar endereços na faixa 10.0.0.0   -> 10.255.255.255 ou na faixa 172.16.0.0 -> 72.31.255.255 ou na faixa 192.168.0.0 ->   192.168.255.255.

Com o uso do NAT, a empresa fornece acesso à Internet para um grande número de computadores da rede interna, usando um número bem menor de endereços IP válidos na Internet. Por exemplo, uma rede com 100 computadores, usando um esquema de endereçamento 10.10.0.0/255.255.0.0, poderá ter acesso à Internet, usando o NAT, usando um único endereço IP válido: o endereço IP da interface externa do NAT. Observe que com isso temos uma grande economia de endereços IP: No nosso exemplo temos 100 computadores acessando a Internet (configurados com endereços IP privados), os quais utilizam um único endereço IP válido, que é o endereço IP da interface externa do servidor configurado como NAT.

Muito bem, respondi as questões anteriores mas agora devem ter surgido novas questões na cabeça do amigo leitor, como por exemplo:

1.         Se houver mais de um cliente acessando a Internet e o NAT possui apenas um endereço IP válido (ou em outras situações, se houver um número maior de clientes internos acessando a Internet, do que o número de endereços IP disponíveis no NAT. E o número de endereços IP, disponíveis no NAT sempre será menor do que o número de computadores da rede interna, uma vez que um dos principais objetivos do uso do NAT é reduzir a quantidade de números IP válidos), como é possível a comunicação de mais de um cliente, ao mesmo tempo, com a Internet?

2.         Quando a resposta retorna, como o NAT sabe para qual cliente ela se destina, se houver mais de um cliente acessando a Internet?

Inicialmente vamos observar que o esquema de endereçamento utilizado pela empresa do nosso exemplo (10.10.0.0/255.255.0.0) está dentro de uma faixa de endereços Privados. Aqui está a principal função do NAT, que é o papel de “traduzir” os endereços privados, os quais não são válidos na Internet, para o endereço válido, da interface pública do servidor com o NAT. Me explico melhor. Imagine que você tem cinco computadores na rede, todos usando o NAT. Os computadores estão utilizando os seguintes endereços:

• 10.10.0.10
• 10.10.0.11
• 10.10.0.12
• 10.10.0.13
• 10.10.0.14

O computador com o NAT habilitado tem as seguintes configurações:

• IP da interface interna: 10.10.0.1
• IP da interface externa: Um ou mais endereços válidos na Internet, obtido a partir da conexão com o provedor de Internet, mas sempre em número bem menor do que a quantidade de computadores da rede interna.

Quando um cliente acessa a Internet, no pacote de informação enviado por este cliente, está registrado o endereço IP da rede interna, por exemplo: 10.10.0.10. Porém este pacote não pode ser enviado pelo NAT para a Internet, com este endereço IP como endereço de origem, senão no primeiro roteador este pacote será descartado, já que o endereço 10.10.0.10 não é um endereço válido na Internet (pois é um endereço que pertence a uma das faixas de endereços privados, conforme descrito anteriormente). Para que este pacote possa ser enviado para a Internet, o NAT substitui o endereço IP de origem por um dos endereços IP da interface externa do NAT (endereço fornecido pelo provedor de Internet e, portanto, válido na Internet). Este processo que é chamado de tradução de endereços, ou seja, traduzir de um endereço IP interno, não válido na Internet, para um endereço IP externo, válido na Internet. Quando a resposta retorna, o ICS repassa a resposta para o cliente que originou o pedido.

Mas ainda fica a questão de como o NAT sabe para qual cliente interno é a respostas, se os pacotes de dois ou mais clientes podem ter sido traduzidos para o mesmo endereço IP externo. A resposta para estas questão é a mesma. O NAT ao executar a função de tradução de endereços, associa um número de porta, que é único, com cada um dos computadores da rede interna. A tradução de endereços funciona assim:

1.         Quando um cliente interno tenta se comunicar com a Internet, o NAT substitui o endereço interno do cliente como endereço de origem, por um endereço válido na Internet. Mas além do endereço é também associada uma porta de comunicação. Por exemplo, vamos supor que o computador 10.10.0.12 tenta acessar a Internet. O NAT substitui o endereço 10.10.0.12 por um endereço válido na Internet, vou chutar um: 144.72.3.21. Mas além do número IP é também associada uma porta, como por exemplo: 144.72.3.21:6555. O NAT mantém uma tabea interna onde fica registrado que, comunicação através da porta “tal” está relacionada com o cliente “tal”. Por exemplo, a tabela do NAT, em um determinado momento, poderia ter o seguinte conteúdo:

• 144.72.3.21:6555              10.10.0.10
• 144.72.3.21:6556              10.10.0.11
• 144.72.3.21:6557              10.10.0.12
• 144.72.3.21:6558              10.10.0.13
• 144.72.3.21:6559              10.10.0.14

Observe que todos os endereços da rede interna são “traduzidos” para o mesmo endereço externo, porém com um número diferente de porta.

2.         Quando a resposta retorna, o NAT consulta a sua tabela interna e, pela identificação da porta, ele sabe para qual computador da rede interna deve ser enviada a referida resposta, uma vez que a porta de identificação está associada com um endereço IP da rede interna. Por exemplo, se chegar um pacote endereçado a 144.72.3.21:6557, ele sabe que este pacote deve ser enviado para o seguinte computador da rede interna: 10.10.0.12. O NAT obtém esta informação a partir da tabela interna, descrita anteriormente.

Com isso, vários computadores da rede interna, podem acessar a Internet ao mesmo tempo, usando um único endereço IP ou um número de endereços IP bem menor do que o número de computadores da rede interna. A diferenciação é feita através de uma atribuição de porta de comunicação diferente, associada com cada IP da rede interna. Este é o princípio básico do NAT – Network Address Translation (Tradução de Endereços IP).

Agora que você já sabe o princípio básico do funcionamento do NAT, vamos entender quais os componentes deste serviço no Windows Server 2003 e vamos aprender a configurá-lo.

Os componentes do NAT.

O serviço NAT é composto, basicamente, pelos seguintes elementos:

• Componente de tradução de endereços: O NAT faz parte do servidor RRAS. Ou seja, para que você possa utilizar o servidor NAT, para fornecer conexão à Internet para a rede da sua empresa, você deve ter um servidor com o RRAS instalado e habilitado (veja Capítulo 19 para detalhes sobre a habilitação do RRAS). O servidor onde está o RRAS deve ser o servidor conectado à Internet. O componente de tradução de endereços faz parte da funcionalidade do NAT e será habilitado, assim que o NAT for configurado no RRAS.
• Componente de endereçamento: Este componente atua como um servidor DHCP simplificado, o qual é utilizado para concessão de endereços IP para os computadores da rede interna. Além do endereço IP, o servidor DHCP simplificado é capaz de configurar os clientes com informações tais como a máscara de sub-rede, o número IP do gateway padrão (default gateway) e o número IP do servidor DNS. Os clientes da rede interna devem ser configurados como clientes DHCP, ou seja, nas propriedades do TCP/IP, você deve habilitar a opção para que o cliente obtenha um endereço IP automaticamente. Computadores executando o Windows Server 2003 (qualquer edição), Windows XP, Windows 2000, Windows NT, Windows Me, Windows 98 ou Windows 95, são automaticamente configurados como clientes DHCP. Caso um destes clientes tenha sido configurado para usar um IP fixo, deverá ser reconfigurado, para que ele possa utilizar o NAT.
• Componente de resolução de nomes: O computador no qual o NAT é habilitado, também desempenha o papel de um servidor DNS, o qual é utilizado pelos computadores da rede interna. Quando uma consulta para resolução de nomes é enviada por um cliente interno, para o computador com o NAT habilitado, o computador com o NAT repassa esta consulta para um servidor DNS da Internet (normalmente o servidor DNS do provedor de Internet) e retorna a resposta obtida para o cliente. Esta funcionalidade é idêntica ao papel de DNS Proxy, fornecida pelo ICS, conforme descrito anteriormente.

Importante:

Como o NAT inclui as funcionalidades de endereçamento e resolução de nomes, você terá as seguintes limitações para o uso de outros serviços, no mesmo servidor onde o NAT foi habilitado:

• Você não poderá executar o servidor DHCP ou o DHCP Relay Agent no servidor NAT.
• Você não poderá executar o servidor DNS no servidor NAT.

Um pouco de planejamento antes de habilitar o NAT.

Antes de habilitar o NAT no servidor RRAS, para fornecer conexão à Internet para os demais computadores da rede, existem alguns fatores que você deve levar em consideração. Neste item descrevo as considerações que devem ser levadas em conta, antes da habilitação do NAT. Estes fatos ajudam a evitar futuros problemas e necessidade de reconfigurações no NAT.
1.         Utilize endereços privados para os computadores da rede interna.

Esta é a primeira e óbvia recomendação. Para o esquema de endereçamento da rede interna, você deve utilizar uma faixa de endereços, dentro de uma das faixas de endereços privados: 10.0.0.0/255.0.0.0, 172.16.0.0/255.240.0.0 ou 192.168.0.0/255.255.0.0. Você pode utilizar diferentes máscaras de sub-rede, de acordo com as necessidades da sua rede. Por exemplo, se você tiver uma rede com 100 máquinas, pode utilizar um esquema de endereçamento: 10.10.10.0/255.255.255.0, o qual disponibiliza até 254 endereços. Por padrão, o NAT utiliza o esquema de endereçamento 192.168.0.0/255.255.255.0. Porém é possível alterar este esquema de endereçamento, nas configurações do NAT. Lembre-se que, uma vez habilitado o NAT, este passa a atuar como um servidor DHCP para a rede interna, fornecendo as configurações do TCP/IP para os clientes da rede interna. Com isso, nas configurações do NAT (conforme você aprenderá mais adiante), você define o escopo de endereços que será fornecido para os clientes da rede.

Nota: Você também poderia configurar a sua rede interna com uma faixa de endereços IP válidos, porém não alocados diretamente para a sua empresa. Ou seja, você estaria utilizando na rede interna, um esquema de endereçamento que foi reservado para uso de outra empresa. Esta não é uma configuração recomendada e é conhecida como: “illegal or overlapping IP addressing”. O resultado prático é que, mesmo assim, você conseguirá usar o NAT para acessar a Internet, porém não conseguirá acessar os recursos da rede para o qual o esquema de endereçamento foi oficialmente alocado. Por exemplo, se você resolveu usar o esquema de endereçamento 1.0.0.0/255.0.0.0, sem se preocupar em saber para quem esta faixa de endereços foi reservado. Mesmo assim você conseguirá acessar a Internet usando o NAT, você apenas não conseguirá acessar os recursos e servidores da empresa que usa, oficialmente, o esquema de endereçamento 1.0.0.0/255.0.0.0, que você resolveu utilizar para a rede interna da sua empresa.

Ao configurar o NAT, o administrador poderá excluir faixas de endereços que não devem ser fornecidas para os clientes. Por exemplo, se você tiver alguns equipamentos da rede interna (impressoras, hubs, switchs, etc) que devam ter um número IP fixo, você pode excluir uma faixa de endereços IP no servidor NAT e utilizar estes endereços para configurar os equipamentos que, por algum motivo, precisam de um IP fixo.

2.         Usar um ou mais endereços IP públicos.

 Se você estiver utilizando um único endereço IP, fornecido pelo provedor de Internet, não serão necessárias configurações adicionais no NAT, conforme você verá na parte prática, mais adiante. Porém se você obtém dois ou mais endereços IP públicos, você terá que configurar a interface externa do NAT (interface ligada a Internet), com a faixa de endereços públicos, fornecidos pelo provedor de Internet. A faixa é informada no formato padrão: Número IP/Máscara de sub-rede. Pode existir situações em que nem todos os números fornecidos pelo provedor possam ser informados usando esta representação. Nestas situações pode acontecer de você não poder utilizar todos os endereços disponibilizados pelo provedor de Internet, a não ser que você utilize a representação por faixas, conforme descrito mais adiante.

Se o número de endereços fornecido for uma potência de 2 (2, 4, 8, 16, 32, 64 e assim por diante), é mais provável que você consiga representar a faixa de endereços no formato Número IP/Máscara de sub-rede. Por exemplo, se você recebeu quatro endereços IP públicos: 206.73.118.212, 206.73.118.213, 206.73.118.214 e 206.73.118.215. Esta faixa pode ser representada da seguinte maneira: 206.73.118.212/255.255.255.252.

Nota: Para maiores detalhes sobre a representação de faixas de endereços IP e máscaras de sub-rede, consulte os capítulos 2 e 16.

Caso não seja possível fazer a representação no formato Número IP/Máscara de sub-rede, você pode informar os endereços públicos como uma série de faixas de endereços, conforme exemplo a seguir:

• 206.73.118.213     ->         206.73.118.218
• 206.73.118.222     ->         206.73.118.240

3.         Permitir conexões da Internet para a rede interna da empresa

O funcionamento normal do NAT, permite que sejam feitas conexões da rede privada para recursos na Internet. Por exemplo, um cliente da rede acessando um servidor de ftp na Internet. Neste caso, o cliente executando um programa cliente de ftp, faz a conexão com um servidor ftp da Internet. Quando os pacotes de resposta chegam no NAT, eles podem ser repassados ao cliente, pois representam a resposta a uma conexão iniciada internamente e não uma tentativa de acesso vinda da Internet.

Nota: Você verá que esta relação entre os pacotes que chegam, serem ou não uma resposta a uma requisição de um cliente da rede interna, representa o princípio básico de funcionamento do IFC – Internet Firewall Connection, que será visto no próximo tópico.

Você pode querer fornecer acesso a um servidor da rede interna, para usuários da Internet. Por exemplo, você pode configurar um servidor da rede interna com o IIS e instalar neste servidor o site da empresa. Em seguida você terá que configurar o NAT, para que os usuários da Internet possam acessar este servidor da rede interna. Observe que nesta situação, chegarão pacotes da Internet, os quais não representarão respostas a requisições dos clientes da rede interna, mas sim requisições de acesso dos usuários da Internet, a um servidor da rede interna. Por padrão este tráfego será bloqueado no NAT. Porém o administrador  pode configurar o NAT para aceitar requisições vindas de clientes da Internet, para um servidor da rede interna. Para fazer estas configurações você deve seguir os seguintes passos:

Dica: Se você está se preparando para o MCSE 2000 ou MCSE 2003, não esqueça, de jeito nenhum, desta possibilidade e de quais as configurações necessárias.

Para permitir que usuários da Internet, acessem recursos na sua rede interna, siga os passos indicados a seguir:

• O servidor da rede interna, que deverá ser acessado através da Internet, deve ser configurado com um número IP fixo (número que faça parte da faixa de endereços fornecidos pelo NAT, para uso da rede interna) e com o número IP do default gateway e do servidor DNS (o número IP da interface interna do computador com o NAT habilitado).
• Excluir o endereço IP utilizado pelo servidor da rede Interna (servidor que estará acessível para clientes da Internet) da  faixa de endereços fornecidos pelo NAT, para que este endereço não seja alocado dinamicamente para um outro computador da rede, o que iria gerar um conflito de endereços IP na rede interna.
• Configurar uma porta especial no NAT. Uma porta especial é um mapeamento estático de um endereço público e um número de porta, para um endereço privado e um número de porta. Esta porta especial faz o mapeamento das conexões chegadas da internet para um endereço específico da rede interne. Com o uso de portas especiais, por exemplo, você pode criar um servidor HTTP ou FTP na rede interna e torna-lo acessível a partir da Internet.

Nota: Na parte prática você aprenderá a fazer estas configurações e o mapeamento de portas especiais.

4.         Configurando aplicações e serviços.

Algumas aplicações podem exigir configurações especiais no NAT, normalmente com a habilitação de determinadas portas. Por exemplo, vamos supor que você está usando o NAT para conectar 10 computadores de uma loja de jogos, com a Internet. Pode ser necessária a habilitação das portas utilizadas por determinados jogos, para que estes possam ser executados através do NAT. Se estas configurações não forem feitas, o NAT irá bloquear pacotes que utilizem estas portas e os respectivos jogos não poderão ser acessados.

5.         Conexões VPN iniciadas a partir da rede interna.

No Windows Server 2003 você pode criar conexões VPN a partir da rede interna ao NAT, para uma outra rede, usando a Internet como meio, tanto usando PPTP quanto L2TP (para mais detalhes sobre estes protocolos consulte o Capítulo 19). Esta é uma das novidades do Windows Server 2003, já que no Windows 2000 Server não era possível criar conexões VPN L2TP/IPSec, a partir de uma rede que utilize o NAT.

Muito bem, de teoria sobre NAT é isso. Agora vamos mostrar como fazer as configurações práticas do NAT.

Habilitando o NAT no servidor RRAS.

O primeiro passo para utilizar o NAT para conexão da sua rede com a Internet, é habilitar o NAT no servidor RRAS. Neste item mostrarei os passos práticos para fazer esta habilitação. A habilitação é feita no servidor RRAS que tem conexão com a Internet. Este servidor deve ter, pelo menos, duas interfaces de rede. Uma é a interface de rede local, que conecta o servidor à rede local da empresa. A outra interface, normalmente é uma placa de fax-modem que faz a conexão com a Internet ou qualquer outra forma de conexão com a Internet, disponível.

Para habilitar o NAT no servidor RRAS, siga os passos indicados a seguir:

1.         Faça o logon com a conta de administrador ou com uma conta com permissão de administrador, no computador com o RRAS instalado e com a conexão com a Internet..
2.         Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3.         O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do servidor RRAS, para exibir as diversas opções disponíveis.
4.         Clique no sinal de + ao lado da opção IP Routing, para exibir as opções de roteamento disponíveis.
5.         Clique com o botão direito do mouse na opção General (Geral) e, no menu de opções que é exibido clique em New Routing Protocol... (Novo protocolo de roteamento...).
6.         Será aberta a janela New Routing Protocol, com a lista de protocolos de roteamento, disponíveis para a instalação. Clique na opção NAT/Basic Firewall para seleciona-la, conforme indicado na Figura 20.7:
(FIG20-7.jpg" />
Figura 20.7 Instalando o NAT/Basic Firewall.

7.         Clique em OK e pronto, o NAT será instalado e já será exibido no console RRAS. Nos próximos itens você aprenderá a configurar as diversas opções do NAT.

Configurando o NAT.

Agora que você habilitou o NAT, a próxima etapa é configura-lo. Por exemplo, você tem que informar a faixa de endereços que será fornecido pelo NAT para uso da rede interna, definir se serão excluídos alguns endereços e assim por diante.

Para configurar o NAT no servidor RRAS, siga os passos indicados a seguir:
               
1.         Faça o logon com a conta de administrador ou com uma conta com permissão de administrador, no computador com o RRAS instalado e com a conexão com a Internet..
2.         Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3.         O console de configuração do RRAS será aberto. Clique no sinal de + ao lado do nome do servidor RRAS, para exibir as diversas opções disponíveis.
4.         Clique no sinal de + ao lado da opção IP Routing, para exibir as opções de roteamento disponíveis.
5.         Clique com o botão direito do mouse na opção NAT/Basic Firewall e, no menu de opções que é exibido clique em Properties (Propriedades).
6.         Será exibida a janela de propriedades do NAT, com a guia General selecionada por padrão, conforme indicado na Figura 20.8:

Figura 20.8 A guia Geral da janela de propriedades do NAT.

7.         Nesta guia você define a quantidade de informações que será gravada no log de atividade do NAT. Por padrão está selecionada a opção para fazer o logo somente de eventos de erros (Log errors only). A opção padrão é a mais indicada na maioria das situações, principalmente se o NAT está funcionando normalmente, sem apresentar problemas. Para fazer com que além de erros, sejam gravadas mensagens de aviso, marque a opção Log errors and warnings. Em situações onde você está enfrentando sérios problemas de funcionalidade com o NAT e não está conseguindo identificar a causa, é útil registrar o máximo de informações possíveis no log do NAT. Para tal, marque a opção Log the maximum amount of information. As informações do NAT são gravadas no log do sistema (System) e podem ser visualizadas usando o Event Viewer, conforme descrito no Capítulo 13. Para desabilitar completamento o log de eventos do NAT, marque a opção Disable event logging.
8.         Selecione a opção desejada e dê um clique na guia Translation. Serão exibidas as opções indicadas na Figura 20.9:

Figura 20.9 A guia Translation da janela de propriedades do NAT.

9.         Nesta guia você define o tempo máximo que a tradução para mensagens baseadas nos protocolos TCP e UDP, devem ser mantidas na tabela do NAT. Este tempo máximo evita que mensagens que não obtiveram respostas, fiquem indefinidamente na tabela do NAT, ocupando portas que poderiam ser utilizadas por outros usuários. Sem a definição destes tempos de timeout, poderia-se chegar a uma situação onde não haveria mais portas disponíveis e novos clientes não poderiam acessar a Internet.

10.       Defina os valores desejados e clique na guia Address Assignment (Atribuição de endereços). Nesta janela é que você habilita o NAT a executar o papel de servidor DHCP para os clientes da rede Interna. Para habilitar a função de DHCP no NAT, marque a opção Automatically assign IP addresses by using the DHCP alocator (Atribuir endereços IP automaticamente, usando o alocador DHCP). Ao marcar esta opção, serão habilitados os campos IP address (Endereço IP) e Mask (Máscara de sub-rede), para que você defina o número da rede. Os clientes da rede interna receberão números IP de acordo com o número de rede que você definir nesta guia. Devem ser utilizados endereços privados na faixa IP 192.168.0.0 com máscara 255.255.255.0, os clientes da rede receberão os endereços: IP 192.168.0.2, IP 192.168.0.3, IP 192.168.0.4 e assim por diante. É importante lembrar que o primeiro endereço (IP 192.168.0.0 será reservado para a interface interna do computador com o NAT instalado). Na Figura 20.10, mostro um exemplo de configuração destes valores:

Figura 20.10 A guia Address Assignment da janela de propriedades do NAT.

11.       Conforme descrito anteriormente, você pode excluir endereços, da faixa de endereços fornecidos pelo NAT. No nosso exemplo,vamos excluir os cinco primeiros endereços da rede 10.10.10.0/255.255.255.0:

• IP 192.168.0.1
• IP 192.168.0.2
• IP 192.168.0.3
• IP 192.168.0.4
• IP 192.168.0.5

12.       Para exclui endereços, da faixa de endereços a ser distribuída pelo NAT, clique no botão Exclude... (Excluir...). Será aberta a janela Exclude Reserved Address (Excluir endereços reservados). Clique no botão Add... (Adicionar). Será aberta a janela Add IP Address (Adicionar endereço IP). Digite o primeiro endereço a ser excluído, conforme exemplo da Figura 20.11:

Figura 20.11 Informando um endereço IP para exclusão..

13.       Clique em OK. Repita a operação para os demais endereços a serem excluídos. Sua janela deve estar conforme indicado na Figura 20.12:

Figura 20.12 Lista de endereços a serem excluídos da concessão do NAT.

14.       Se você digitou um endereço incorretamente, poderá corrigi-lo. Para isso clique no endereço que foi digitado com erro, para seleciona-lo. Em seguida clique no botão Edit (Editar). O endereço será exibido na janela Add IP Address e você poderá altera-lo. Faça as alterações necessárias e clique em OK. Você poderá excluir um endereço da faixa de exclusão, ou seja, fazer com que o endereço volte a estar disponível para o NAT concede-lo a um cliente da rede. Para excluir um endereço da faixa de exclusão, basta clicar no endereço a ser excluído, para seleciona-lo e, em seguida, clicar em Remove (Remover). Após ter feito as configurações desejadas clique em OK, para fechar a janela Exclude Reserved Address (Excluir endereços reservados). Você estará de volta à janela de propriedades do NAT.
15.       Clique na guia Name Resolution. Nesta guia você pode habilitar o NAT para prestar o serviço de resolução de nomes para os clientes da rede interna. Na verdade, conforme descrito anteriormente, o NAT apenas repassa os pedidos de resolução de nomes dos clientes, para o servidor DNS configurado na interface externa do NAT. Quando o NAT recebe a resposta, ele a retorna para o cliente que iniciou a consulta. Para habilitar a resolução DNS através do NAT, marque a opção Clients using Domain Name System (Clientes utilizando DNS). Ao marcar esta opção, as demais opções desta janela serão habilitadas. A opção Connect to the public network when a name needs to be resolved (Conectar-se a rede pública quando for necessária a resolução de um nome). Ao marcar esta opção, você está orientando ao NAT para iniciar uma conexão (se já não houver uma estabelecida), sempre que for enviada uma consulta de nomes por um dos clientes. Ao marcar esta opção, a lista Demand-dial interface (Interface de discagem sob demanda), para que você selecione a conexão a ser utilizada, conforme exemplo da Figura 20.

Figura 20.13 Habilitando a resolução DNS.

Dica: Se você está se preparando para o MCSE 2000 ou MCSE 2003, não esqueça que é possível habilitar a resolução DNS via NAT e que é possível configurar o NAT para iniciar uma discagem sob demanda, sempre que houver uma consulta de resolução de nomes de um cliente e a conexão não estiver estabelecida.

16.       Defina as configurações desejadas e clique em OK para salva-las.

Configurações adicionais.

Para que o NAT possa funcionar corretamente existem mais algumas etapas que devem ser vencidas. Neste item apresentarei os passos necessários para que a configuração do NAT esteja completa. Mostrarei os passos que já foram executados e farei um exemplo prático de como configurar os passos restantes.

Para que o NAT possa funcionar corretamente e ser utilizado por todos os computadores da rede interna, os seguintes passos devem ser executados:

1.         O computador com que terá acesso à Internet deve ter uma placa de rede instalada e uma forma de conexão com a internet (linha discada, ISDN, ADSL, etc). A placa de rede é conhecida como interface interna e a conexão com a Internet é conhecida como interface externa.
2.         Habilitar o RRAS no computador com conexão com a Internet (foi feito no Capítulo 19).
3.         Instalar o protocolo NAT no servidor RRAS (foi feito em um dos itens anteriores).
4.         Configurar o protocolo NAT, informando uma faixa de endereços, exclusão de endereços e habilitar a resolução DNS via NAT (foi feito no item anterior).

As próximas etapas são relacionadas com as configurações das interfaces do computador com o NAT instalado e dos computadores da rede.

5.         Configurar a interface interna do computador com o NAT, com o endereço IP: 192.168.0.1, com máscara de sub-rede 255.255.255.0 e sem default gateway. (para detalhes sobre as configurações do protocolo TCP/IP, consulte os Capítulos 2 e 16).

Nota: No exemplo estou utilizando a faixa padrão 192.168.0.0/255.255.255.0, mas poderia ser utilizada qualquer faixa de endereços, desde que seja uma faixa de endereços privados, conforme descrito anteriormente. Por exemplo, eu poderia configurar o NAT com a faixa 10.10.10.0/255.255.255.0. Usar o primeiro endereço para a faixa, como endereço da interface de rede interna do servidor com o NAT, não é obrigatório. Este é um padrão normalmente utilizado, já que esta interface será configurada como o default gateway dos computadores da rede interna e, por tradição, utiliza-se o primeiro endereço da rede para o default gateway. Mas repito, não é obrigatório que seja o primeiro endereço.

6.         Habilitar o roteamento na interface externa.
7.         Criar uma interface de discagem sob demanda.
8.         Criar uma rota padrão.
9.         O último passo é habilitar o NAT nas interfaces interna e externa.

A seguir mostrarei como efetuar cada uma destas configurações.

Importante: Você somente conseguirá cumprir a etapa 7, se o RRAS estiver habilitado para a função de roteamento. Se o roteamento não estiver habilitado, a opção Network Interfaces (Interfaces de rede) não será exibida abaixo do servidor RRAS. Para habilitar a função de roteamento, siga os passos indicados a seguir:

Em seguida vamos ver como executar os passos 6 e 7.

Para habilitar o NAT nas interfaces interna e externa, siga os passos indicados a seguir:

1.         Faça o logon com a conta de administrador ou com uma conta com permissão de administrador, no computador com o RRAS instalado e com a conexão com a Internet..
2.         Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3.         O console de configuração do RRAS será aberto. Clique com o botão direito do mouse no nome do servidor a ser configurado e, no menu de opções que é exibido clique em Properties (Propriedades).
4.         Será aberta a janela de propriedades do servidor RRAS, com a guia General (Geral) sendo exibida por padrão. Marque as opções de roteamento conforme indicado na Figura 20.14:

Figura 20.14 Habilitando a função de roteamento no RRAS.

5.         Clique em OK. Será exibida uma mensagem avisando que o servidor RRAS será parado e inicializado novamente. Clique em Yes para fechar esta mensagem. O servidor RRAS é parado e inicializado novamente e a opção Network Interfaces já deve estar sendo exibida no consolo RRAS.
6.         Feche o console de gerenciamento do RRAS.

Agora você aprenderá a fazer as configurações para concluir as demais etapas da configuração do NAT.

Para concluir o passo 6: Habilitar o roteamento na interface externa, siga os passos indicados a seguir:

1.         Faça o logon com a conta de administrador ou com uma conta com permissão de administrador, no computador com o RRAS instalado e com a conexão com a Internet..
2.         Abra o console Routing and Remote Access (Roteamento e acesso remoto): Start -> Administrative Tools -> Routing and Remote Access (Iniciar -> Ferramentas administrativas -> Roteamento e acesso remoto).
3.         O console de configuração do RRAS será aberto. Clique com o botão direito do mouse na opção Ports e, no menu de opções que é exibido, clique em Properties (Propriedades). Será exibida a janela com a lista de portas disponíveis. Marque a porta que representa a conexão com a Internet, conforme exemplo da Figura 20.15, onde foi selecionada a porta correspondente ao modem que faz a conexão com a Internet:

Figura 20.15 Selecionando a porta de conexão com a Internet.

4.         Clique em Configure... (Configurar...). Será exibida a janela Configure device – Nome da interface. Marque a opção Demand-dial routing connections (inbound and outbound), conforme exemplo da Figura 21.16:

Figura 20.16 Configurando a interface externa.

5.         Clique em OK para fechar a janela de configuração do dispositivo.
6.         Você estará de volta à janela de propriedades das portas. Clique em OK para fecha-la.
7.         Você estará de volta ao console de configuração do RRAS. Mantenha-o aberto, pois irá utiliza-los nos próximos passos.

Para concluir o passo 7: Criar uma interface de discagem sob demanda., siga os passos indicados a seguir:

1.         Você deve estar com o console RRAS ainda aberto, do exemplo anterior. Se não estiver aberto, abra-o.
2.         Clique com o botão direito do mouse na opção Network Interfaces e, no menu de opções que é exibido, clique em New Demand-dial Interface... (Nova interface de discagem sob demanda...).
3.         Será aberto o assistente para criação de interfaces de discagem sob demanda. A primeira tela do assistente é apenas informativa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
4.         Nesta etapa você deve informar um nome para a interface. Digite um nome e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
5.         Nesta etapa você deve informar o tipo de conexão que será utilizado. No exemplo da Figura 20.17, selecionei uma conexão usando modem:

Figura 20.17 Selecionando o tipo de conexão.

6.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Nesta etapa serão exibidos os dispositivos disponíveis para o tipo de conexão selecionado. Selecione o dispositivo (no nosso exemplo um modem) a ser utilizado e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8.         Nesta etapa você deve informar o número do telefone. Este é o número que você utiliza para fazer a conexão com o provedor de Internet. Informe o número e clique em Next (Avançar), para seguir para a próxima etapa do assistente
9.         Nesta etapa você pode selecionar várias opções. Certifique-se de que a opção Route IP packets on this interface (Rotear pacotes IP nesta interface) esteja selecionada, conforme indicado na Figura 20.18:

Figura 20.18 Selecionando opções da nova conexão.

10.       Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       Nesta etapa você pode informar rotas estáticas que serão acrescentadas nesta interface que está sendo criada. Utilize o botão Add para adicionar as rotas que forem necessárias e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12.       Nesta etapa você informa os dados para autenticação quando a interface fizer a conexão. Informe os dados de logon e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
13.       Será exibida a tela final do assistente. Você pode utilizar o botão Back (Voltar), para fazer alterações em alguma das etapas do assistente. Clique em Finish (Concluir). O assistente será encerrado e a nova interface de discagem sob demanda terá sido criada, conforme indicado na Figura 20.19:

Figura 20.19 Interface recém criada.

14.       Mantenha o console do RRAS aberto, pois irá utiliza-los nos próximos passos.

Para concluir o passo 8: Criar uma rota padrão., siga os passos indicados a seguir:

1.         Você deve estar com o console RRAS ainda aberto, do exemplo anterior. Se não estiver aberto, abra-o.
2.         Clique no sinal de + ao lado da opção IP Routing, para exibir as opções disponíveis.
3.         Clique com o botão direito do mouse na opção Static Routes (Rotas estáticas) e, no menu de opções que é exibido, clique em New Static Route... (Nova rota estática...).
4.         Será aberta a janela Static Route.
5.         Na lista Interface selecione a Interface criada no passo 7, a qual será a rota padrão para os computadores da rede. Ou seja, todos os clientes da rede usarão a interface do NAT como rota padrão. Todos os pacotes serão enviados para a interface externa do NAT, a qual os envia para a Internet. Esta interface também irá receber as respostas vindas da Internet e irá repassa-las para os clientes, conforme descrito anteriormente.
6.         No campo Destination (Destino), preencha com: 0.0.0.0.
7.         No campo Network mask (Máscara de sub-rede), preencha com: 0.0.0.0.
8.         Como estou utilizando uma conexão discadas, o campo gateway estará desabilitado.
9.         No campo Metric aceite o valor 1 e certifique-se de que a opção Use this route to initiate demand-dial connections (Utilize esta rota para iniciar conexões de discagem sob demanda) esteja marcada. Sua janela deve estar conforme indicado na Figura 20.20:

Figura 20.20 Criando uma rota padrão.

10.       Clique em OK para criar a rota padrão.
11.       Mantenha o console do RRAS aberto, pois irá utiliza-los nos próximos passos.

Para concluir o passo 9: Habilitar o NAT nas interfaces interna e externa, siga os passos indicados a seguir:

1.         Você deve estar com o console RRAS ainda aberto, do exemplo anterior. Se não estiver aberto, abra-o.
2.         Clique no sinal de + ao lado da opção IP Routing, para exibir as opções disponíveis.
3.         Clique com o botão direito do mouse na opção NAT/Basic Firewall e, no menu de opções que é exibido, clique em New Interface... (Nova interface...).
4.         Será exibida a janela com a lista de interfaces disponíveis. Você tem que configurar habilitar o NAT nas duas interfaces: interna e externa. Vamos inicialmente habilitar na interface interna. Selecione a interface interna, conforme exemplo da Figura 20.21:

Figura 20.21 Habilitando o NAT na interface interna.

5.         Clique em OK. Será aberta a janela onde você pode fazer as configurações para a interface para a qual está sendo habilitado o NAT. Como você seleciono a interface interna (passo 4), já vem marcada a opção Private interface connected to private network (Interface privada, conectada a rede privada). Clique em OK para aceitar as configurações padrão e pronto, o NAT foi habilitado na interface interna.
6.         Finalmente vamos habilitar o NAT na interface externa. Na interface externa existem algumas configurações adicionais que terão que ser feitas, conforme será demonstrado logo a seguir. Clique com o botão direito do mouse na opção NAT/Basic Firewall e, no menu de opções que é exibido, clique em New Interface... (Nova interface...).
7.         Será exibida a janela com a lista de interfaces disponíveis. Você pode identificar a interface externa pelo ícone de um pequeno modem, abaixo do ícone de identificação da interface. Clique na interface externa a ser habilitada para o NAT e clique em OK.
8.         Será exibida a janela de propriedades da interface, com a opção Public interface connected to Internet (Interface pública conectada à Internet) selecionada automaticamente, conforme indicado na Figura 20.22:

Figura 20.22 Habilitando o NAT na interface externa.

9.         Observe que você pode habilitar as funções de NAT (já vem habilitada por padrão) e de Basic Firewal, a qual não vem selecionada por padrão. Você pode criar filtros de entrada e saída, baseados no número IP das redes de destino e origem e nos protocolos utilizados. Você cria estes filtros utilizando os botões Inbound Filters (Filtros de entrada) e Outbound Filters (Filtros de saída). Defina as configurações desejadas e clique na guia Address Pool (Poll de endereços).
10.       Nesta guia você deve informar um ou mais números IP válidos na Internet, fornecidos pelo seu provedor de Internet. Para informar um novo endereço, clique no botão Add... (Adicionar...). Será aberta a janela Add Address Pool (Adicionar pool de endereços). Digite o endereço inicial, a máscara de sub-rede e o endereço final. Se for um único endereço IP, o endereço inicial deve ser digitado igual ao final, conforme exemplo da Figura 20.23:

Figura 20.23 Habilitando o NAT na interface externa.

11.       Informe o endereço ou faixa de endereços e clique em OK. Os dados informados já serão exibidos na guia Address Pool, conforme indicado na Figura 20.24:

Figura 20.24 Endereços que serão utilizados pela interface externa do NAT.

12.       Você pode reservar um dos endereços IP públicos (caso você tenha obtido mais de um endereço IP junto ao provedor de Internet), para uso exclusivo de um dos computadores internos da rede. Além disso você pode fazer com que este computador aceite conexões vindas da Internet. Você pode usar esta opção para criar um servidor WWW ou FTP na rede interna e torna-lo disponível para acesso através da Internet. Para criar uma reserva de endereço, utilize o botão Reservations... (Reservas), da guia Address Pool.
13.       Dê um clique na guia Services and Ports (Serviços e Portas). Nesta guia você pode habilitar quais serviços da rede interna, poderão ser acessados a partir da Internet. Por padrão todos os serviços estão desabilitados, conforme indicado na Figura 20.25:

Figura 20.25 Por padrão todos os serviços estão desabilitados.

14.       É importante que o que está desabilitado é o acesso de clientes da Internet para serviços na sua rede interna. Os usuários da rede interna, poderão acessar normalmente os serviços da Internet. Você habilita um ou mais serviços para que usuários da Internet, possam ter acesso ao serviço que foi habilitado, em um dos servidores da sua rede interna. Por exemplo, imagine que você queira instalar um servidor com o Windows Server 2003 e o IIS 6.0 na rede interna da empresa, no qual ficará hospedado o site da empresa. Para que os usuários possam acessar este servidor a partir da internet, você tem que habilitar o serviço WWW. Clique no serviço WWW para habilita-lo (Web Server (HTTP). Ao clicar nesta opção, será aberta a janela Edit Service (Editar serviço). Nesta janela você informa se o servidor HTTP responderá apenas requisições feitas para um dos endereços IP públicos ou para quaisquer requisições que chegarem a interface pública, independentemente do IP de destino. Nesta janela você também tem que informar o número IP do servidor, na rede interna da empresa, conforme exemplo da Figura 20.26:

Figura 20.26 Informando o número IP do servidor na rede interna.

15.       Defina as configurações desejadas e clica em OK.
16.       Você estará de volta a guia Services and Ports (Serviços e portas), com o serviço Web Server (HTTP) já habilitado. Agora os usuários da Internet serão capazes de acessar o servidor Web da rede interna, o qual está no servidor com o número IP (192.168.0.25), conforme exemplo da Figura 20.26.
17.       Clique na guia ICMP. Nesta guia você define quais tipos de pacotes do protocolo ICMP serão habilitados para serem roteados através do NAT. O ICMP é utilizado por comandos de monitoração como o pink e o tracert. Se você desabilitar todos os tipos de pacotes ICMP, estes comandos não poderão ser utilizados. Defina as configurações desejadas e clique em OK. Pronto, agora o NAT está habilitado nas duas interfaces, interna e externa, conforme indicado na Figura 20.27:

Figura 20.27 NAT habilitado na interface interna e na interface externa.

A etapa final é configurar os clientes da rede, para utilizarem o NAT. Esta etapa é extremamente simples. Basta configurar os computadores da rede interna como clientes DHCP. Com isso os clientes passarão a obter as configurações diretamente do NAT (o qual atua como um servidor DHCP para a rede interna, conforme descrito anteriormente). Pronto, o NAT está configurado e funcionando. Os computadores da sua rede interna podem utilizar o NAT para ter acesso à Internet.

Nota: Uma das grandes diferenças entre o NAT e o ICS é que o NAT oferece mais segurança e mais recursos de proteção. Por outro lado, o ICS é muito mais simples para configurar, conforme você mesmo pode constatar até aqui neste Capítulo.

A seguir falarei sobre o IFC - Internet Firewall Connection (Firewall de Conexão com a Internet).  O IFC faz parte do Windows Server 2003 e tem como objetivo proteger o acesso do usuário contra “ataques” e “perigos” vindos da Internet.