MASQUERADE, iptables bağlamında nedir?


42

Gelen iptablesbirçok kez ben hedef bkz maskeli . O nedir? Aradım ve birçok şey buldum. Ancak MASQUERADE'in ne olduğunu kolayca anlayabilmesi için birilerine ihtiyacım var ?

Bir örnek ( bu cevaptan alınmış ):

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Yanıtlar:


33

Birinin orijinal trafiği aksatmadan trafiği yönlendirmesini sağlayan iptables uygulamasına bağlı bir algoritmadır.

Sanal bir wifi adaptörü oluşturmak ve benim wifi paylaşmak istediğimde maskeli algoritması kullanırım.

Wifi bağlantınız üzerinden Ethernet bağlantısını paylaşmaktan bahsetmiyorum, wifi bağlantınızı sanal bağdaştırıcıya maskeleme yoluyla wifi bağlantınızı paylaşmaktan söz ediyorum. Bu, wifi bağlantınızı wifi üzerinden paylaşmanıza izin verir.

.

.

Bunu okuyun ve MASQUERADE'e gidin: http://billauer.co.il/ipmasq-html.html

Daha fazla bilgi için bunu okuyun: http://oreilly.com/openbook/linag2/book/ch11.html

"Connect for linux" ile ilgili tüm bu sorular MASQUERADE algosunu uygulayarak çözülebilir.

Doğrudan bir örnek için bu sayfayı ziyaret edin: http://pritambaral.com/2012/05/connectify-for-linux-wireless-hotspot/

SON LİNK OKUYORUM !!!! Ancak aşağıdakiler doğru bir alıntıdır / örnektir.

sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -A FORWARD -i wlan0 -j ACCEPT
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Arama motorlarının algoritmayı nasıl kötü bir tür hack olacağı konusunda gerçekten sevmediğimden eminim .. Sadece kullandığım için internetimi android telefonlarımla paylaşıyorum.

NİHAİ EDİT: Bu bağlantı en iyisidir http://gsp.com/cgi-bin/man.cgi?section=3&topic=libalias


ilk bağlantınız gibi - aynen - aradığım şey :)
Mohammad Reza Rezwani

MASUERADEKuralı test ettim (kod listenizdeki üçüncü satır) ve bağlantı arayüzler arasında tam olarak paylaşılır ve kullanılabilir durumdadır. Bu nedenle, sinirliyim FORWARDkural ne için? (kod listenizdeki ikinci satırdaki kural)
千 :0 3

34

MASQUERADE, inet arabiriminin harici ipi kuralı yazarken şu anda bilinmediğinde (sunucu dinamik olarak harici ip aldığında) SNAT hedefi (kaynak NAT) yerine kullanılabilecek bir iptables hedefidir.


IP adresi bilindiğinde ne kullanılmalıdır?
Luc

4
@Luc, SNAT hedefi (kaynak ağ adresi çevirisi), orijinal kaynak ip yerine orijinal ana bilgisayardan ip paketine yerleştirilmesi gereken kaynak ipini tanımlayarak. Bunun gibi -j SNAT --to-source xx.xx.xx.xx, xx.xx.xx.xx istenen arayüzün harici ipidir. Ve harici ip bilindiğinde kullanılması gerektiğini söyleyemem . Kuralları esnek hale getirmek ve şu anda sahip olduğum belirli harici iplere bağlı olmamak için SNAT yerine MASQUERADE kullanmayı tercih ederim.
Sergey P. aka azure,

7

IP Masquerade , Ağ Adresi Çevirisi (NAT) ve Ağ Bağlantı Paylaşımı ile diğer popüler işletim sistemlerini de tanır. Genelde İnternet geneline açık bir IP adresine sahip olmayan bir bilgisayarın İnternet ile diğer bilgisayarlarla İnternet ve İnternet arasında oturan başka bir bilgisayarın yardımı ile iletişim kurmasına izin vermek için bir yöntemdir.

Bildiğiniz gibi IP adresi internette makineleri tanımlamak için kullanılıyor. IP adresine sahip bir paket verildiğinde, İnternet'i oluşturan her yönlendirici, hedefine ulaşmak için bu paketi nereye göndereceğini bilir. Şimdi, Yerel Alan Ağları ve doğrudan İnternete bağlı olmayan diğer ağlarda özel kullanım için ayrılmış birkaç IP adresi aralığı da vardır. Bu özel adreslerin kamuya açık internette kullanılmaması garanti edilmektedir.

Bu, özel ağlara bağlı makinelerde sorunlara neden olur, çünkü bunlar doğrudan Internet'e bağlanamaz, özel IP adresleri kullanırlar. İnternet üzerinden kullanılmasına izin verilen bir IP adresine sahip değiller. IP Masquerade, bu sorunu özel bir IP adresine sahip bir makinenin İnternet ile iletişim kurmasına izin verirken aynı zamanda makinenin paketlerini orijinal özel IP adresi yerine geçerli bir genel IP adresi kullanacak şekilde değiştirerek çözer. İnternetten dönen paketler, özel IP makinesine ulaşmadan önce orijinal IP adresini kullanmak için geri değiştirilir.

Not Bu internet ağı maskeli sınırlı olmadığı / NAT bir diğer let söz hakkından 10.0.0.0/24 ve 192.168.0.0/24 bir ağdan trafiğini yol kullanılabilir

Iptables masquerade kuralı SNAT kuralıyla değiştirilebilir

iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.0/24  -j MASQUERADE

=

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to-source 192.168.1.2
# supposing eth2 assigned ip is 192.168.1.2

Hem masquerade hem de snat , çekirdek düzeyinde noc ayarını düzenleyerek çekirdek düzeyinde "1" > /proc/sys/net/ipv4/ip_forwardveya kalıcı olarak ip_forward özelliğini etkinleştirmeyi gerektirir/etc/sysctl.conf .

IP Yönlendirme , makinenin bir yönlendirici gibi çalışmasını sağlar ve böylece paketleri hedeflenen ağ tarafından (yerel / net / diğer / etc) veya rota tablosunu izleyerek tüm aktif arabirimden mantıksal olarak yönlendirir / iletir. İp_forward'ın etkinleştirilmesinin önemli güvenlik riski oluşturabileceğini, ip_forward'ın önlenememesi durumunda, ek iptables / rota kuralları tarafından denetlenmesi / güvence altına alınması gerektiğini unutmayın.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.