Ubuntu IP Masquerading

Palvelinopas -dokumentaatio

IP Masquerading -toiminnon tarkoituksena on sallia verkossa olevat yksityiset, ei-reititettävät IP-osoitteet , joiden avulla pääset käsiksi Internetiin koneen kautta kopioimalla. Internetiin tarkoitettua yksityistä verkkoa liikennettä on manipuloitava vastausten palauttamiseksi pyynnön esittäneelle koneelle. Tätä varten ytimen on muokattava kunkin paketin lähde IP-osoite siten, että vastaukset reititetään takaisin sen sijaan, että yksityinen IP-osoite, joka teki pyynnön, mikä on mahdotonta Internetin välityksellä. Linux käyttää yhteyden seurantaa (conntrack), jotta voidaan seurata, mitkä yhteydet kuuluvat mihin koneisiin ja uudelleenlähettää jokaisen palautuspaketin vastaavasti. Yksityisverkostasi lähtevä liikenne on siten "masqueraded", koska se on peräisin Ubuntun yhdyskäytäväkoneesta. Tätä prosessia kutsutaan Microsoft-dokumentaatioksi Internet-yhteyden jakamisessa.

Ohjeet IP Masquerading -ohjelmaan

Tämä voidaan toteuttaa yhdellä iptables-säännössä, joka saattaa poiketa hieman verkkoasetusten perusteella:

sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE

Yllä oleva käsky olettaa, että yksityinen osoiteavaruus on 192.168.0.0/16 ja että Internet-päin oleva laite on ppp0. Syntaksi on jaettu seuraavasti:

• -t nat - sääntö on mennä nat taulukkoon
• - POSTROUTING - sääntö lisätään (-A) POSTROUTING-ketjuun
• -s 192.168.0.0/16 - sääntö koskee määritetystä osoitustilasta peräisin olevaa liikennettä
• -o ppp0 - sääntö koskee liikennettä, joka on tarkoitus reitittää määritetyn verkkolaitteen kautta
• -j MASQUERADE - tämän säännön mukainen liikenne on "hypätä" (-j) MASQUERADE-kohteeseen, jota voidaan manipuloida edellä kuvatulla tavalla

Jokainen suodatintaulukon ketju (oletustaulukko ja jossa suurin osa tai kaikki pakettien suodatus tapahtuu) on oletusarvoinen ACCEPT- käytäntö , mutta jos olet luonut palomuurin yhdyskäytävälaitteen lisäksi, olet ehkä asettanut käytäntöjä DROP tai REJECT, jolloin yliluonnollinen liikenne on sallittava FORWARD-ketjun kautta, jotta yllä oleva sääntö toimisi:

sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m tila - perustettu, RELATED -i ppp0 -j ACCEPT

Edellä mainitut komennot mahdollistavat kaikki yhteydet paikallisverkostasi Internetiin ja kaikki kyseisiin yhteyksiin liittyvä liikenne palata koneelle, joka on käynnistänyt ne.

* Lisenssi

* Ubuntun palvelinopas -indeksi