Linux'ta birçok ağ güvenliği / koklama aracı kullanırken IP iletimini etkinleştirmek için bu komutu kullanarak birçok blogda gördüm.
echo 1 > /proc/sys/net/ipv4/ip_forward
Herhangi biri beni meslekten olmayan terimlerle açıklayabilir mi, bu komut ne yapar? Sisteminizi yönlendiriciye dönüştürüyor mu?
Yanıtlar:
"IP iletme", "yönlendirme" ile eşanlamlıdır. Linux çekirdeğinin bir özelliği olduğu için "çekirdek IP iletme" olarak adlandırılır.
Bir yönlendirici birden fazla ağ arayüzüne sahiptir. Trafik, başka bir ağ arayüzünün alt ağına uyan bir arayüze girerse, bir yönlendirici bu trafiği diğer ağ arayüzüne iletir.
Öyleyse diyelim ki iki NIC var, biri (NIC 1) 192.168.2.1/24 adresinde, diğeri (NIC 2) 192.168.3.1/24. Yönlendirme etkinse ve bir paket 192.168.3.8 "hedef adresi" olan NIC 1'e gelirse, yönlendirici bu paketi NIC 2'den yeniden gönderir.
Internet'e ağ geçidi işlevi gören yönlendiricilerin, varsayılan NIC'lerle eşleşmeyen herhangi bir trafiğin varsayılan rotanın NIC'sinden geçeceği varsayılan bir rotaya sahip olmaları yaygındır. Bu yüzden yukarıdaki örnekte, NIC 2’de internet bağlantınız varsa, NIC 2’yi varsayılan rotanız olarak ayarlarsınız ve NIC 1’den gelen 192.168.2.0/24’te herhangi bir şey için gelmeyen herhangi bir trafik gider NIC 2 yoluyla. Umarım NIC 2’yi geçerek daha fazla yönlendirebilecek başka yönlendiriciler vardır (İnternet söz konusu olduğunda, bir sonraki atlama ISS’nizin yönlendiricisi ve ardından sağlayıcılarının yukarı yönlendiricisi vb.) olacaktır.
Etkinleştirme ip_forward, Linux sisteminize bunu yapmasını söyler. Anlamlı olması için iki ağ arayüzüne ihtiyacınız var (herhangi bir veya daha fazla kablolu NIC kartı, Wifi kartı veya yonga kümesi, 56k modem veya seri üzerinden PPP bağlantısı vb.).
Yönlendirme yaparken, güvenlik önemlidir ve Linux'un paket filtresinin iptablesdahil olduğu yer burasıdır . Böylece iptablesihtiyaçlarınızla tutarlı bir konfigürasyona ihtiyacınız olacak.
iptablesEngelli ve / veya güvenlik duvarı ve güvenlik göz önünde bulundurulmadan yönlendirmenin etkinleştirilmesinin , NIC’lerden biri İnternet’e ya da kontrolünüzde olmayan bir alt ağa karşı karşıya kalması durumunda sizi güvenlik açıklarına açık bırakabileceğini unutmayın.
iptablesbunu ayarlamanın yoludur.
MASQUERADEkuralı iptabless' POSTROUTINGyapmak için bir zincir üzerinde. Bkz revsys.com/writings/quicktips/nat.html ve i.stack.imgur.com/rzz83.png .
Etkinleştirildiğinde, "IP iletme", Linux makinesinin gelen paketleri almasını ve iletmesini sağlar. Sıradan bir ana bilgisayar gibi davranan bir Linux makinesinin IP iletme özelliğini etkinleştirmesi gerekmez, çünkü yalnızca kendi amaçları için IP trafiği oluşturur ve alır (yani, kullanıcının amaçları için).
Bununla birlikte, IP iletmenin yararlı olduğu durumlar da vardır: 1. Makinemizin bir yönlendirici görevi görmesini, diğer ana bilgisayarlardan paketleri almasını ve hedeflerine doğru yönlendirmesini istiyoruz. 2. Biz kötü adamlarız ve başka bir makineyi " ortadaki adam saldırısı " olarak adlandırmak istiyoruz. Bu durumda, mağdurlara yönelik tüm trafiği durdurmak ve görmek istiyoruz, ancak bu trafiği kendisine iletmek istiyoruz, böylece varlığımızı "algılamıyor".