Server ուղեցույց փաստաթղթավորում
IP Masquerading- ի նպատակն է թույլ տալ, որ ձեր ցանցում մասնավոր, ոչ ծագող IP հասցեներ ունեցող մեքենաներ Ինտերնետին մուտք գործեն դիմակահանդես կատարող մեքենայի միջոցով: Ինտերնետի համար նախատեսված ձեր անձնական ցանցից երթեւեկությունը պետք է մանիպուլյացիայի ենթարկվի այն պատասխանների համար, որոնք կարող են վերածվել այն մեքենայի, որը դիմում է կատարել: Դրա համար միջուկը պետք է փոփոխի յուրաքանչյուր փաթեթի աղբյուր IP- հասցեն, որպեսզի պատասխանները կուղղվեն դրան, այլ ոչ թե մասնավոր IP հասցեին, որը պահանջը կատարեց, ինչը անհնար է ինտերնետից: Linux- ը օգտագործում է կապի հետեւում (conntrack), հետեւելու համար, թե որ կապակցումները պատկանում են մեքենաներին եւ համապատասխանաբար վերադառնալու յուրաքանչյուր փաթեթ: Ձեր անձնական ցանցից դուրս գալու երթեւեկությունը, այսպիսով, «դիմակավորված է», որը ծագել է ձեր Ubuntu Gateway մեքենայից: Այս գործընթացը վերաբերում է Microsoft- ի փաստաթղթերում որպես Ինտերնետ կապի բաժանման:
IP դիմակահանդեսի համար հրահանգներ
Սա կարելի է իրականացնել միայն մեկ iptables կանոնով, որը կարող է տարբերվել մի փոքր `ձեր ցանցային կազմաձեւման հիման վրա:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEՎերոհիշյալ հրամանն ընդունում է, որ ձեր անձնական հասցեի տարածքը 192.168.0.0/16 է, եւ ձեր ինտերնետի առջեւ կանգնած սարքը ppp0 է: Սինթետիկան կոտրված է հետեւյալ կերպ.
- -t nat - կանոնը պետք է մտնել նատե սեղանին
- -Այսինքն, POSTROUTING- ի կանոնը պետք է կցվի (-A) POSTROUTING շղթայի մեջ
- -192.168.0.0/16 - կանոնը տարածվում է նշված հասցեի տարածքի ծագման տրաֆիկի վրա
- -o ppp0 - կանոնը վերաբերում է սահմանված ցանցային սարքի միջոցով երթեւեկվող երթեւեկությանը
- -J MASQUERADE - այս կանոնին համապատասխանող երթեւեկությունն այն է, «ցատկել» (-j) `MASQUERADE թիրախին, որը վերը նկարագրված է շահարկվում
Ֆիլտրի աղյուսակում յուրաքանչյուր շղթա (կանխադրված աղյուսակ, եւ որտեղ ամենատարածված կամ ամբողջ փաթեթի ֆիլտրացումը տեղի է ունենում) ունի ACCEPT- ի կանխադրված քաղաքականություն , բայց եթե դուք ստեղծում եք firewall- ի մի ծայրամասային սարք, ապա կարող եք սահմանել քաղաքականությունը DROP կամ REJECT, որի դեպքում ձեր դիմակահանդես տրաֆիկին պետք է թույլատրվի FORWARD շղթայի միջոցով վերը նշված կանոնը աշխատելու համար.
դատական անգործության ենթարկված անձինք `Ա-ն 192.168.0.0/16 -o ppp0 -j ACCEPT դատական կարգով անգործունակներ - FORWARD-d 192.168.0.0/16 -m պետական պետություն, հիմնավորված - i ppp0 -j ACCEPTՎերոհիշյալ հրամանները թույլ կտան բոլոր կապերը տեղական ցանցից դեպի համացանց եւ այդ կապի հետ կապված բոլոր երթեւեկությունը վերադառնալու համար այն մեքենային վերադառնալու համար:
* Լիցենզիա