Τεκμηρίωση οδηγού διακομιστή
Ο σκοπός του IP Masquerading είναι να επιτρέψει στις μηχανές με ιδιωτικές, μη-διευθυνόμενες διευθύνσεις IP στο δίκτυό σας να έχουν πρόσβαση στο Διαδίκτυο μέσω του μηχανήματος που κάνει τη μεταμφίεση. Η κυκλοφορία από το ιδιωτικό σας δίκτυο που προορίζεται για το Διαδίκτυο πρέπει να γίνεται με τρόπο ώστε οι απαντήσεις να μπορούν να μεταφερθούν πίσω στο μηχάνημα που έκανε την αίτηση. Για να γίνει αυτό, ο πυρήνας πρέπει να τροποποιήσει τη διεύθυνση IP προέλευσης κάθε πακέτου έτσι ώστε οι απαντήσεις να κατευθύνονται πίσω σε αυτό, αντί της ιδιωτικής διεύθυνσης IP που έκανε το αίτημα, το οποίο είναι αδύνατο μέσω του Διαδικτύου. Το Linux χρησιμοποιεί την Παρακολούθηση Σύνδεσης (conntrack) για να παρακολουθεί ποιες συνδέσεις ανήκουν σε ποιες μηχανές και να ανακατευθύνουν κάθε πακέτο επιστροφής ανάλογα. Επομένως, η κυκλοφορία που εξέρχεται από το ιδιωτικό σας δίκτυο "μεταμφιέζεται" ως προέλευση από τη μηχανή πύλης Ubuntu. Αυτή η διαδικασία αναφέρεται στην τεκμηρίωση της Microsoft ως Κοινόχρηστη σύνδεση στο Internet.
Οδηγίες για IP Masquerading
Αυτό μπορεί να επιτευχθεί με έναν και μοναδικό κανόνα iptables, ο οποίος μπορεί να διαφέρει ελαφρώς ανάλογα με τη διαμόρφωση του δικτύου σας:
sudo iptables -t nat -A ΑΠΑΝΤΗΣΗ -s 192.168.0.0/16 -o ppp0 -j MASQUERADEΗ παραπάνω εντολή υποθέτει ότι ο ιδιωτικός σας χώρος διευθύνσεων είναι 192.168.0.0/16 και ότι η συσκευή που βλέπει στο Internet είναι ppp0. Η σύνταξη αναλύεται ως εξής:
- -t nat - ο κανόνας είναι να πάει στο τραπέζι nat
- -ΑΝΑΣΚΟΠΗΣΗ - ο κανόνας πρέπει να επισυνάπτεται (-Α) στην αλυσίδα POSTROUTING
- -s 192.168.0.0/16 - ο κανόνας ισχύει για την κίνηση που προέρχεται από τον καθορισμένο χώρο διευθύνσεων
- -o ppp0 - Ο κανόνας ισχύει για την κυκλοφορία που έχει προγραμματιστεί να δρομολογηθεί μέσω της συγκεκριμένης συσκευής δικτύου
- -j MASQUERADE - η κίνηση που ταιριάζει με αυτόν τον κανόνα είναι να "πηδήσει" (-j) στον στόχο MASQUERADE για να χειριστεί όπως περιγράφεται παραπάνω
Κάθε αλυσίδα στον πίνακα φίλτρων (ο προεπιλεγμένος πίνακας και το πού πραγματοποιείται το μεγαλύτερο ή όλο το φιλτράρισμα πακέτων) έχει μια προεπιλεγμένη πολιτική ACCEPT, αλλά εάν δημιουργείτε ένα τείχος προστασίας εκτός από μια συσκευή πύλης, ενδέχεται να έχετε ορίσει τις πολιτικές σε DROP ή REJECT, οπότε η μετακίνησή σας πρέπει να επιτρέπεται μέσω της αλυσίδας FORWARD για να λειτουργήσει ο παραπάνω κανόνας:
sudo iptables -A FORWARD -s 192.168.0.0/16 -ο ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m κατάσταση -στατισμός ESTABLISHED, ΣΧΕΤΙΚΟΙ -i ppp0 -j ACCEPTΟι παραπάνω εντολές θα επιτρέψουν σε όλες τις συνδέσεις από το τοπικό σας δίκτυο προς το Internet και όλη την κίνηση που σχετίζεται με αυτές τις συνδέσεις να επιστρέψουν στο μηχάνημα που τους ξεκίνησε.
* Άδεια