Documentación da guía do servidor
O propósito de IP Masquerading é permitir que as máquinas con enderezos IP privados e non rotables na súa rede accedan a Internet a través da máquina facendo a mascarada. O tráfico da súa rede privada destinada a Internet debe ser manipulada para que as respostas poidan ser devoltas á máquina que fixo a solicitude. Para iso, o núcleo debe modificar o enderezo IP orixinal de cada paquete, de xeito que as respostas se reenvíen a el, e non á dirección IP privada que fixo a solicitude, o que é imposible por internet. Linux usa seguimento de conexións (conntrack) para manter un rexistro de que conexións pertencen a que máquinas e redirecciona cada paquete de retorno de conformidade. O tráfico que sae da túa rede privada é así "mascarelado" como orixinario da túa máquina de pasarela Ubuntu. Este proceso refírese á documentación de Microsoft como Conexión a Internet compartida.
Instrucións para a mascarada de IP
Isto pódese conseguir cunha única regra de iptables, que pode diferir ligeramente en función da configuración da rede:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEO comando anterior supón que o seu espazo de enderezo privado é 192.168.0.0/16 e que o seu dispositivo de navegación cara a Internet é ppp0. A sintaxe divídese do seguinte xeito:
- -t nat - a regra é entrar na mesa nat
- -U POSTROUTING: a regra debe ser anexada (-A) á cadea POSTROUTING
- -s 192.168.0.0/16 - a regra aplícase ao tráfico orixinario do espazo de enderezos especificado
- -o ppp0 - a regra aplícase ao tráfico programado para rotar a través do dispositivo de rede especificado
- -j MASQUERADE: o tráfico que emparece esta regra é "saltar" (-j) ao obxectivo MASQUERADE para ser manipulado como se describe arriba
Cada cadea na táboa do filtro (a táboa por defecto e onde se produce a maior parte ou todos os filtros de paquetes) ten unha política predeterminada de ACEPTO, pero se está a crear un firewall ademais dun dispositivo de pasarela, é posible que configure as políticas para DROP ou REJECT, neste caso o seu tráfico mascarizado debe permitirse a través da cadea FORWARD para que funcione a regra anterior:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACEPTA sudo iptables -A FORWARD -d 192.168.0.0/16 -m state --stat ESTABLISHED, RELATED -i ppp0 -j ACCEPTOs comandos anteriores permitirán que todas as conexións da súa rede local a Internet e todo o tráfico relacionado con esas conexións regresen á máquina que as iniciou.
* Licenza