Çekirdek ip iletme nedir?


70

Linux'ta birçok ağ güvenliği / koklama aracı kullanırken IP iletimini etkinleştirmek için bu komutu kullanarak birçok blogda gördüm.

echo 1 > /proc/sys/net/ipv4/ip_forward

Herhangi biri beni meslekten olmayan terimlerle açıklayabilir mi, bu komut ne yapar? Sisteminizi yönlendiriciye dönüştürüyor mu?


1
piton dosya etkinleştirip Portforwarding devre dışı bırakmak için gist.github.com/addminuse/7747903cd420b15f17e0

Yanıtlar:


77

"IP iletme", "yönlendirme" ile eşanlamlıdır. Linux çekirdeğinin bir özelliği olduğu için "çekirdek IP iletme" olarak adlandırılır.

Bir yönlendirici birden fazla ağ arayüzüne sahiptir. Trafik, başka bir ağ arayüzünün alt ağına uyan bir arayüze girerse, bir yönlendirici bu trafiği diğer ağ arayüzüne iletir.

Öyleyse diyelim ki iki NIC var, biri (NIC 1) 192.168.2.1/24 adresinde, diğeri (NIC 2) 192.168.3.1/24. Yönlendirme etkinse ve bir paket 192.168.3.8 "hedef adresi" olan NIC 1'e gelirse, yönlendirici bu paketi NIC 2'den yeniden gönderir.

Internet'e ağ geçidi işlevi gören yönlendiricilerin, varsayılan NIC'lerle eşleşmeyen herhangi bir trafiğin varsayılan rotanın NIC'sinden geçeceği varsayılan bir rotaya sahip olmaları yaygındır. Bu yüzden yukarıdaki örnekte, NIC 2’de internet bağlantınız varsa, NIC 2’yi varsayılan rotanız olarak ayarlarsınız ve NIC 1’den gelen 192.168.2.0/24’te herhangi bir şey için gelmeyen herhangi bir trafik gider NIC 2 yoluyla. Umarım NIC 2’yi geçerek daha fazla yönlendirebilecek başka yönlendiriciler vardır (İnternet söz konusu olduğunda, bir sonraki atlama ISS’nizin yönlendiricisi ve ardından sağlayıcılarının yukarı yönlendiricisi vb.) olacaktır.

Etkinleştirme ip_forward, Linux sisteminize bunu yapmasını söyler. Anlamlı olması için iki ağ arayüzüne ihtiyacınız var (herhangi bir veya daha fazla kablolu NIC kartı, Wifi kartı veya yonga kümesi, 56k modem veya seri üzerinden PPP bağlantısı vb.).

Yönlendirme yaparken, güvenlik önemlidir ve Linux'un paket filtresinin iptablesdahil olduğu yer burasıdır . Böylece iptablesihtiyaçlarınızla tutarlı bir konfigürasyona ihtiyacınız olacak.

iptablesEngelli ve / veya güvenlik duvarı ve güvenlik göz önünde bulundurulmadan yönlendirmenin etkinleştirilmesinin , NIC’lerden biri İnternet’e ya da kontrolünüzde olmayan bir alt ağa karşı karşıya kalması durumunda sizi güvenlik açıklarına açık bırakabileceğini unutmayın.


2
Doğru, eğer NIC 2 özel bir IP ise NAT yapmak istersiniz. Linux da NAT yapabilir ve iptablesbunu ayarlamanın yoludur.
LawrenceC

NIC 2'den NIC 1'e giden veriler için bir NAT'a ihtiyaç duyuyor mu?
GutenYe

2
Genellikle NAT, LAN'dan WAN'a çalışır, bu nedenle NIC 2'nin özel bir IP'si varsa ve NIC 1'in genel 1'i varsa, NAT'a ihtiyacınız vardır; spesifik olarak, İnternet bakan yüzü (yukarıdaki gibi NIC 1) ihtiyacı MASQUERADEkuralı iptabless' POSTROUTINGyapmak için bir zincir üzerinde. Bkz revsys.com/writings/quicktips/nat.html ve i.stack.imgur.com/rzz83.png .
LawrenceC,

Basit bir deyişle, IP iletmeyi etkinleştirmenin, makinenin bir NIC'sinden bir NIC'sinden diğerine NIC'sinden diğerine geçmesine izin verdiğini söylemem doğru olur mu? Ayrıca, IP iletiminin etkinleştirilmesinin tek bir IP / NIC'ye sahip bir makinede gerçekten gerekli olmadığını söylesem doğru olur mu?
Sree

1
@ultrasawblade IP iletme özelliği etkinleştirilmişse ve NIC 2'de ve ayrıca varsayılan yol olarak internet bağlantısı varsa, NIC 1'den 192.168.2.2'ye yönelik bir paket alırsa yönlendirici ne yapar?
bobo

3

Etkinleştirildiğinde, "IP iletme", Linux makinesinin gelen paketleri almasını ve iletmesini sağlar. Sıradan bir ana bilgisayar gibi davranan bir Linux makinesinin IP iletme özelliğini etkinleştirmesi gerekmez, çünkü yalnızca kendi amaçları için IP trafiği oluşturur ve alır (yani, kullanıcının amaçları için).

Bununla birlikte, IP iletmenin yararlı olduğu durumlar da vardır: 1. Makinemizin bir yönlendirici görevi görmesini, diğer ana bilgisayarlardan paketleri almasını ve hedeflerine doğru yönlendirmesini istiyoruz. 2. Biz kötü adamlarız ve başka bir makineyi " ortadaki adam saldırısı " olarak adlandırmak istiyoruz. Bu durumda, mağdurlara yönelik tüm trafiği durdurmak ve görmek istiyoruz, ancak bu trafiği kendisine iletmek istiyoruz, böylece varlığımızı "algılamıyor".

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.