it-swarm-eu.dev

Co je MASQUERADE v souvislosti s iptables?

V iptables mnohokrát vidím cíl [~ # ~] maškaráda [~ # ~] . Co je to? Prohledal jsem a našel spoustu věcí. Ale potřebuji někoho, aby mi vysvětlil, co [~ # ~] maškaráda [~ # ~] je snadno pochopitelné?

Příklad (převzatý z tato odpověď ) je:

Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
46

Je to algoritmus závislý na implementaci iptables, který umožňuje směrování provozu bez narušení původního provozu.

Používám maškarní algoritmus, když chci vytvořit virtuální wifi adaptér a sdílet své wifi.

Nemluvím o sdílení ethernetového připojení přes wifi, Im mluvím o sdílení wifi připojení přes wifi prostřednictvím maskování na virtuální adaptér. To ve skutečnosti umožňuje sdílet vaše wifi připojení prostřednictvím wifi.

.

.

Přečtěte si toto a přejděte dolů na MASQUERADE: http://billauer.co.il/ipmasq-html.html

Podrobněji si přečtěte toto: http://oreilly.com/openbook/linag2/book/ch11.html

Všechny tyto otázky týkající se „Connectify for linux“ lze vyřešit implementací alba MASQUERADE.

Pro přímý příklad navštivte tuto stránku: http://pritambaral.com/2012/05/connectify-for-linux-wireless-hotspot/

NENÍ SI ČTĚT POSLEDNÍ ŘÁD !!!! Ale následující je přesný výňatek/příklad.

Sudo sysctl -w net.ipv4.ip_forward=1
Sudo iptables -A FORWARD -i wlan0 -j ACCEPT
Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Opravdu se mi nelíbí, jak vyhledávače vytvářejí algoritmus jako nějaký zlý typ hacku. Používám jej pouze proto, abych sdílel svůj internet s mými telefony Android telefony).

KONEČNÁ ÚPRAVA: tento odkaz je nejlepší http://gsp.com/cgi-bin/man.cgi?section=3&topic= libalias

35
Banned_User

MASQUERADE je cíl iptables, který lze použít místo cíle SNAT (zdroj NAT), když externí ip rozhraní inet není znám v okamžiku zápisu pravidla (když server dostane externí ip dynamicky).

34

IP Masquerade je také známý jako Network Address Translation (NAT) a Network Connection Sharing některé další populární operační systémy. Jde v podstatě o způsob, jak umožnit počítači, který nemá veřejnou internetovou IP adresu, komunikovat s ostatními počítači na internetu pomocí jiného počítače, který mezi nimi sedí a Internetu.

Jak víte, IP adresa se používá na internetu k identifikaci strojů. Každý router, který tvoří internet, ví, kde je daný paket s adresou IP, a ví, kam má daný paket odeslat, aby jej dostal na místo určení. Nyní existuje také několik rozsahů IP adres, které byly vyhrazeny pro soukromé použití v lokálních sítích a dalších sítích, které nejsou přímo připojeny k Internetu. Tyto soukromé adresy jsou zaručeny, že nebudou používány na veřejném internetu.

To způsobuje problémy u počítačů připojených k soukromým sítím, které používají soukromé adresy IP, protože je nelze připojit přímo k Internetu. Nemají IP adresu, kterou je povoleno používat na veřejném internetu. IP Maškaráda řeší tento problém tím, že umožňuje stroji se soukromou IP adresou komunikovat s internetem a zároveň modifikovat pakety stroje tak, aby místo původní soukromé IP adresy používaly platnou veřejnou IP adresu. Pakety vracející se z Internetu jsou upraveny zpět tak, aby používaly původní IP adresu před dosažením soukromého IP stroje.

Poznámka, že to není omezeno na internetovou maškarádu/NAT lze použít pro směrování provozu z jedné sítě do druhé řekněme 10.0.0.0/24 a 192.168.0.0/24

Iptables maškarní pravidlo lze nahradit pravidlem SNAT

iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.0/24  -j MASQUERADE

=

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to-source 192.168.1.2
# supposing eth2 assigned ip is 192.168.1.2

Maškaráda i snat vyžadují ip_forward povoleno na úrovni jádra pomocí echo "1" > /proc/sys/net/ipv4/ip_forward nebo trvale úpravou souboru nastavení nano /etc/sysctl.conf.

IP Forward způsobí, že stroj bude fungovat jako router, a tedy logicky přesměrovat/přeposílat pakety ze všech aktivních rozhraní cílenou sítí (místní/síť/jiné/atd.) Nebo sledováním tabulky tras. Povšimněte si, že povolení ip_forward může představovat důležité bezpečnostní riziko, pokud se ip_forward nelze vyhnout, musí být pod dozorem/zajištěno dalšími pravidly iptables/route.

8
intika