Serverio vadovo dokumentacija
"IP Masquerading" paskirtis yra leisti kompiuteriams su privačiais, nekeičiamais IP adresais jūsų tinkle pasiekti internetą per mašiną, atliekantį maskavimą. Interneto srautas iš privataus tinklo, skirto internetui, turi būti manipuliuojamas, kad atsakymai būtų rotaciniai atgal į prašymą pateikusį įrenginį. Kad tai padarytume, branduolys turi keisti kiekvieno paketo šaltinio IP adresą, kad atsakymai būtų nukreipiami į jį, o ne prie privataus IP adreso, kuris pateiktų užklausą, o tai neįmanoma per internetą. "Linux" naudoja ryšio sekimą (conntrack), kad būtų galima sekti, kurie ryšiai priklauso tam tikroms mašinoms ir atitinkamai perkelia kiekvieną grįžtamąjį paketą. Taigi srautas, paliekantis jūsų privatųjį tinklą, yra "maskuojamas" kaip kilęs iš jūsų "Ubuntu" vartai. Šis procesas yra nurodytas "Microsoft" dokumentuose kaip "Internet Connection Sharing".
Instrukcijos dėl IP maskavimas
Tai gali būti atliekama naudojant vieną iptables taisyklę, kuri gali skirtis priklausomai nuo jūsų tinklo konfigūracijos:
sudo iptables-t nat-POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEPagal pirmiau pateiktą komandą daroma prielaida, kad jūsų privataus adreso plotas yra 192.168.0.0/16 ir jūsų internetinis įrenginys yra ppp0. Sintaksė yra suskirstyta taip:
- -t nat - taisyklė yra eiti į nat lentelę
- - POSTROUTING - taisyklė turi būti pridedama (-A) į POSTROUTING grandinę
- -s 192.168.0.0/16 - taisyklė taikoma srautams, kilusiems iš nurodytos adreso vietos
- -o ppp0 - taisyklė taikoma srautui, kurį planuojama nukreipti per nurodytą tinklo įrenginį
- -j MASQUERADE - eismo atitikimas šiai taisyklei yra "šokti" (-j) į tikslą "MASQUERADE", kurį reikia manipuliuoti, kaip aprašyta aukščiau
Kiekviena filtravimo lentelės grandinė (numatytoji lentelė ir kur vyksta dauguma ar visa paketų filtravimo funkcija) turi numatytąją "ACCEPT" strategiją, tačiau jei kartu su šliuzo įrenginiu sukuriate užkardą, galbūt nustatėte, kad politika yra DROP arba REJECT, tokiu atveju jūsų maskuoti eismas turi būti leidžiamas per FORWARD grandinę, kad ši taisyklė veiktų:
sudo iptables-FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables-FORWARD -d 192.168.0.0/16 -m state -state NUSTATYTA, SUSIJĘS -i ppp0 -j ACCEPTPirmiau pateiktos komandos leis visus prisijungimus iš jūsų vietinio tinklo prie interneto ir visą srautą, susijusį su tomis jungtimis, grįžti į mašiną, kuris juos pradėjo.
* Licencija