E aí? Como está indo com o SixXS? Já criou a conta e recebeu alguns ISKs? Acho que ainda não, né? Então vamos começar os trabalhos do que já podemos usar sem restrições: o roteador.

Usarei, em todos os artigos desta série, configurações fictícias de rede. Isso tem dois pontos positivos: não expõe como a minha rede está configurada e força você a não usar exatamente os parâmetros que eu coloco aqui, tornando sua própria rede exposta. Felizmente, o pessoal que 'inventa' as redes é muito sábio e reserva endereços específicos para serem usados em documentações como esta. Portanto, vamos usá-los. Em redes IPv4, o documento que estabelece esses endereços é o RFC5737. Com base neste documento, a rede que devemos criar é:

192.0.2.0/24

Esta rede tem as seguintes características:

  • IP da rede (reservado): 192.0.2.0
  • Máscara da rede: 255.255.255.0
  • IP do broadcast da rede (reservado): 192.0.2.255
  • Intervalo de IPs válidos para endereçamento: 192.0.2.1 a 192.0.2.254

Mas atenção, MUITA ATENÇÃO!!! Não use esses endereços em sua rede em hipótese alguma!!! Defina o IP da sua rede utilizando um dos endereços privados alocados pelo RFC1918. São eles:

10.0.0.0 - 10.255.255.255 (10/8 prefix)

172.16.0.0 - 172.31.255.255 (172.16/12 prefix)

192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

De um dos blocos acima, defina o IP da sua rede e anote em algum lugar para você usar como referência depois. Para te ajudar nessa escolha, use uma dessas ferramentas:

Uma dica sobre a máscara da rede: defina uma máscara compatível com o tamanho da sua rede. Se você tem poucos dispositivos conectados à rede e não recebe muitas visitas, uma máscara /28 ou /27 deve ser suficiente para você. Uma máscara /28, por exemplo, possui 14 endereços alocáveis. Uma /27, 30. Pode parecer um detalhe bobo, mas o seu roteador vai agradecer, pois máscaras pequenas significam tabelas de roteamento menores, que consomem menos memória e processamento.

Roteador

O meu roteador é um Arris TG862. Este roteador é fornecido pela Net com parte do serviço Virtua, que é o ISP que usamos aqui em casa, então não tenho como escolher esse dispositivo. Mas tudo bem, o papel dele no funcionamento da rede é quase o mais simples possível e ele tem um switch com quatro portas gigabit Ethernet, o que é bom.

Primeiro, vamos definir algumas configurações da LAN (a sua rede local). Faça o login na interface de administração do roteador (os dados para isso são fornecidos pelo seu ISP) e acesse a aba LAN Setup.

Usarei sempre como base para as configurações os dispositivos aos quais possuo acesso. Você terá que adaptar o que está escrito aqui às suas necessidades por conta própria.

Configurações de rede no roteador.

Vamos dissecar essas configurações um pouco.

Veja que usei uma máscara /28 (255.255.255.240). Isso dará a rede 14 IPs alocáveis. Usei o último deles para ser o IP do roteador, ou 192.0.2.14, mas você pode escolher qualquer um.

O que eu normalmente recomendo é alocar sempre os últimos IPs do intervalo disponível em sua rede para os equipamentos cuja finalidade é somente dar acesso a rede (roteadores, gateways, pontos de acesso WiFi etc), deixando os primeiros IPs para os servidores e outros dispositivos de acesso à rede (computadores, smartphones etc). Como o roteador é, do ponto de vista da rede interna para a internet, o último dispositivo dentro da rede interna, eu coloco sempre o último IP disponível da rede nele. Mas isso não é um padrão estabelecido, e sim uma sugestão minha. Você é livre para fazer o que for mais conveniente.

Desligue o DHCP, o DNS override, DNS Relay e o UPnP. Exceto pelo UPnP, que não usaremos de modo algum em nossa rede, o NAS fará todo o resto. Então, para evitar conflitos indesejáveis, desligamos tudo no roteador.

Por outro lado, vamos manter o modo de operação do NAT em RoutedWithNAT. Vamos precisar do NAT para definir uma DMZ, logo mais.

Quando você aplicar estas configurações, perderá o acesso ao roteador através do IP local fornecido pelo ISP. Configure manualmente um IP da nova rede no computador que está usando para configurar o roteador para obter acesso novamente. Use, por exemplo, o IP 192.0.2.10. A máscara precisa ser a mesma usada no roteador, 255.255.255.240.

Se você, como eu, possui um ponto de acesso WiFi (WAP, Wireless Access Point) melhor do que o embutido no roteador, vá na aba Wireless Setup e simplesmente desligue todo o wireless do roteador, desmarcando a opção 'Enable Wireless'. Por 'melhor' entenda, por exemplo, um transceiver/antena mais potente, duplo rádio (2.4 e 5GHz), múltiplas protocolos (802.11 a/b/g/n/ac).

Agora, vá na aba Firewall e configure como mostrado abaixo.

Configurações do firewall no roteador.

Aqui, habilitamos o firewall porque, neste roteador, o NAT e, consequentemente, a DMZ, só funcionam se o firewall está habilitado. Isto não é um grande problema contudo, já que na rede que estou definindo apenas os serviços que rodam no NAS serão acessíveis a partir da internet.

Se você tem algum outro serviço (ex.: um servidor HTTP) rodando em outra máquina que não seja o NAS e quer ter acesso a esse serviço fora de casa através da internet, terá que adaptar essas instruções para criar 'port forwarding' para cada serviço em sua rede, já que você não poderá usar uma DMZ. Já aviso que isso complicará muito a sua vida e não vou explicar como fazer isso aqui. Mas há um consolo: isso só é problema na rede IPv4. Como você verá mais tarde, em redes IPv6 isso não faz diferença alguma, já que nelas o NAT é irrelevante.

Desabilite a proteção de DDoS e o bloqueio de pings e pacotes fragmentados. Se você usa VPN (eu uso, para caralho!), habilite o IPSec, PPTP e L2TP. Aplique as configurações.

Agora, clique em DMZ no menu lateral. É aqui que a mágica acontece e o roteador praticamente desaparece da nossa rede.

Configuração da DMZ.

DMZ é a sigla para DeMilitarized Zone, ou zona desmilitarizada. Apesar do apelo belicista do nome, em redes, uma DMZ significa que um determinado recurso da rede está completamente desprotegido e todas as suas portas podem estar acessíveis a partir de outras redes, no caso, a internet. Digo podem porque somente as portas que possuem um serviço em execução estarão de fato abertas. As demais ou estarão fechadas, ou não responderão. Assim, se um servidor HTTP está rodando na porta 80 em um servidor da DMZ, esta porta estará acessível a quem tiver acesso à rede da DMZ. Se essa rede, como no nosso caso, é a internet, então qualquer um na internet terá acesso ao servidor HTTP na porta 80 dentro da nossa DMZ.

Quando a DMZ é configurada, você diz ao roteador: todo e qualquer tráfego que vier pela interface WAN (a internet) deve ser redirecionado para o IP informado. Ou seja, com essa configuração feita, estamos efetivamente expondo o NAS ao mundo.

Para configurar a DMZ, basta digitar o IP fixo que vamos definir para o NAS no campo 'Private IP', no caso, 192.0.2.1. Aplique e, assim que colocarmos esse IP no NAS, ele estará mais exposto do que bunda de índio. Mas não se aflija. Lidaremos com isso mais tarde.

As configurações necessárias no roteador do ISP estão finalizadas. Efetivamente, o que fiz foi manter o roteador como o dispositivo em toda rede que contém o IP quente (aquele fornecido pelo ISP e que dá acesso à internet), mas praticamente o transformei em um bridge ao definir uma DMZ. No modo bridge (em NAT), o roteador faz a negociação de autenticação com o ISP, mas delega o IP quente a um segundo equipamento. Se você possui um outro roteador bom (com DD-WRT ou OpenWRT, por exemplo), pode experimentar outros ajustes com o modo bridge. Mas isso adiciona uma camada adicional de configuração que eu simplesmente acho desnecessária. E eu gosto das coisas simples.

Antes de encerrar, não poderia deixar de mencionar: a ideia desse setup veio do meu grande amigo Wagner Hiendlmayer. Ele foi até a minha casa numa segunda-feira qualquer e me ajudou a configurar esse esquema até umas quatro da manhã. Paciência e conhecimento monstros!

Hoje fico por aqui. No próximo artigo vou mostrar como configurar o stack IPv4 no NAS.