Ghid de documentație pentru server
Scopul IP Masquerading este să permită mașinilor cu adrese IP private și ne-rute în rețeaua dvs. să acceseze Internetul prin intermediul mașinii care face mascarea. Traficul din rețeaua dvs. privată destinat Internetului trebuie să fie manipulat pentru ca răspunsurile să poată fi retransmise înapoi la aparatul care a făcut cererea. Pentru a face acest lucru, kernelul trebuie să modifice adresa IP sursă a fiecărui pachet, astfel încât răspunsurile să fie direcționate înapoi către el, mai degrabă decât la adresa IP privată care a făcut cererea, ceea ce este imposibil prin Internet. Linux utilizează Urmărirea conexiunii (conntrack) pentru a urmări care conexiuni aparțin mașinilor și redirecționează fiecare pachet de retur corespunzător. Traficul care părăsește rețeaua dvs. privată este, prin urmare, "masqueraded" ca provenind de la mașina dvs. de gateway Ubuntu. Acest proces este referit în documentația Microsoft ca Partajare conexiune la Internet.
Instrucțiuni pentru IP Masquerading
Acest lucru poate fi realizat cu o singură regulă iptables, care poate diferi ușor în funcție de configurația rețelei dvs.:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEComanda de mai sus presupune că spațiul dvs. privat de adrese este 192.168.0.0/16 și că dispozitivul dvs. orientat către Internet este ppp0. Sintaxa este defalcată după cum urmează:
- -t nat - regula este de a intra în tabelul nat
- -A POSTROUTING - regula trebuie adăugată (-A) lanțului POSTROUTING
- -s 192.168.0.0/16 - regula se aplică traficului care provine din spațiul de adrese specificat
- -o ppp0 - regula se aplică traficului programat pentru a fi redirecționat prin dispozitivul de rețea specificat
- -j MASQUERADE - traficul care se potrivește cu această regulă este de a "sări" (-j) la ținta MASQUERADE pentru a fi manipulată așa cum este descris mai sus
Fiecare lanț din tabela de filtrare (tabelul implicit și locul în care are loc cea mai mare parte sau toate filtrarea pachetelor) are o politică implicită de ACCEPT, dar dacă creați un paravan de protecție în plus față de un dispozitiv de gateway, este posibil să setați politicile la DROP REJECT, caz în care traficul dvs. mascat trebuie să fie permis prin intermediul lanțului FORWARD pentru ca regula de mai sus să funcționeze:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m stat - stat ESTABLISHED, RELATED -i ppp0 -j ACCEPTComenzile de mai sus vor permite ca toate conexiunile de la rețeaua locală la Internet și tot traficul legat de acele conexiuni să revină la mașina care le-a inițiat.
* Licență