Szerver útmutató dokumentációja
Az IP-maszkolás célja, hogy a hálózaton lévő, privát, nem forgalomképes IP-címeket tartalmazó gépek hozzáférjenek az internethez a gépen a maszkolás során. Az internetről érkező privát hálózathoz tartozó forgalmat úgy kell manipulálni, hogy a válaszok visszavezethetők legyenek a kérelmet benyújtó gépre. Ehhez a rendszermagnak módosítania kell az egyes csomagok forrás IP-címét, hogy a válaszokat vissza fogják irányítani ahelyett, hogy a kérelmet benyújtó magán IP-cím helyett az interneten keresztül lehetetlen volt. A Linux a Connection Tracking (conntrack) használatával nyomon követi, hogy melyik kapcsolatok tartoznak a gépekhez, és ennek megfelelően minden egyes visszatérési csomagot átirányítanak. A privát hálózatot elhagyó forgalom így "álarcos", mint az Ubuntu átjáró gépéből származik. Ezt a folyamatot a Microsoft dokumentációjában internetkapcsolat megosztásként említik.
Útmutató az IP-maszkoláshoz
Ez egyetlen iptables szabálysal érhető el, amely kissé eltérhet a hálózati konfigurációjától:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEA fenti parancs feltételezi, hogy a privát címtartomány 192.168.0.0/16, és az interneten megjelenő eszköz ppp0. A szintaxis a következőképpen oszlik meg:
- -t nat - a szabály az, hogy bemegy a nat asztalra
- -A POSTROUTING - a szabályt hozzá kell adni (-A) a POSTROUTING lánchoz
- -s 192.168.0.0/16 - a szabály a megadott címtartományból származó forgalomra vonatkozik
- -o ppp0 - a szabály a meghatározott hálózati eszközön átirányított forgalomra vonatkozik
- -j MASQUERADE - ennek a szabálynak megfelelő forgalom az "ugrás" (-j) a MASQUERADE célnak a fent leírt manipulációjára
A szűrőtáblán lévő minden lánc (az alapértelmezett tábla, ahol a legtöbb vagy az összes csomagszűrés megtörténik) alapértelmezett ACCEPT házirendet tartalmaz, de ha átjáróeszköz mellett tűzfalat hoz létre, akkor a házirendeket DROP vagy REJECT, ebben az esetben a maszkolt forgalomnak engedélyezve kell lennie a FORWARD láncon keresztül, hogy a fenti szabály működjön:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m állapot - állapota ESTABLISHED, RELATED -i ppp0 -j ACCEPTA fenti parancsok lehetővé teszik, hogy minden kapcsolódás a helyi hálózatról az internetre és az ezekkel a kapcsolatokkal kapcsolatos összes forgalom visszaálljon a gépre, amelyik kezdeményezte őket.
* Licenc