Документация за сървърно ръководство
Целта на IP Masquerading е да позволи на машините с частни, нерегулируеми IP адреси във вашата мрежа да имат достъп до Интернет чрез машината, която извършва маскирането. Трафикът от вашата частна мрежа, предназначена за интернет, трябва да бъде манипулиран, за да могат да се изпращат обратно до машината, която е подала искането. За да направите това, ядрото трябва да променя източника на IP адреса на всеки пакет, така че отговорите да се насочват обратно към него, а не към частния IP адрес, който е направил заявката, което е невъзможно по интернет. Linux използва проследяване на връзките (conntrack), за да следи кои връзки принадлежат към кои машини и пренасочват съответно всеки връщащ пакет. Трафикът, напускащ частната ви мрежа, по този начин се "маскира" като произхождащ от вашата машина за шлюзове на Ubuntu. Този процес е посочен в документацията на Microsoft като споделяне на интернет връзка.
Инструкции за IP маскиране
Това може да се осъществи с едно правило iptables, което може да се различава малко в зависимост от мрежовата ви конфигурация:
sudo iptables -t nat -А ПОСРЕЩАНЕ -s 192.168.0.0/16 -o ppp0 -j MASQUERADEГорепосочената команда приема, че вашето частно пространство за адреси е 192.168.0.0/16 и че вашето интернет устройство е ppp0. Синтаксисът се разбива, както следва:
- -t nat - правилото е да отидете в таблицата
- -АПИСАНИЕ - правилото трябва да бъде добавено (-А) към веригата POSTROUTING
- -s 192.168.0.0/16 - правилото се прилага за трафик, произхождащ от посоченото адресно пространство
- -o ppp0 - правилото се отнася за трафик, планиран за маршрутизиране през посоченото мрежово устройство
- -j MASQUERADE - трафикът, съответстващ на това правило, е "скок" (-j) към целта на MASQUERADE да бъде манипулиран, както е описано по-горе
Всяка верига във филтърната таблица (таблицата по подразбиране и където се извършва повечето или всички филтриране на пакети) има стандартна политика за ACCEPT, но ако създавате защитна стена в допълнение към портално устройство, може да сте задали правилата да DROP или REJECT, в който случай вашият маскиран трафик трябва да бъде разрешен чрез веригата FORWARD, за да работи горното правило:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m състояние - състояние ESTABLISHED, ВКЛЮЧЕНО -i ppp0 -j ACCEPTГорните команди ще позволят всички връзки от вашата локална мрежа към Интернет и целия трафик, свързан с тези връзки, да се върнат към машината, която ги е инициирала.
* Лиценз