Giả mạo (Nhiều NAT)

Một phần của tài liệu Đồ án: IPTABLES trên LINUX doc (Trang 41 - 44)

12. Các tham số dòng lệnh thường gặp của Iptables

13.8 Giả mạo (Nhiều NAT)

Bạn có thể cấu hình nhiều cho một NAT cho một IP, sử dụng POSTROUTING và không báo cáo Masquerade. Một ví dụ về điều này có thể được nhìn thấy trong phần NAT tĩnh sau.

Hãy nhớ rằng iptables yêu cầu các module iptables_nat được nạp với lệnh modprobe cho tính năng mạo để làm việc. Giả mạo cũng phụ thuộc vào hệ điều hành Linux đang được cấu hình để hỗ trợ định tuyến giữa internet và các giao diện mạng riêng của tường lửa. Điều này được thực hiện bằng cách cho phép chuyển tiếp IP hoặc định tuyến bằng cách cho tập tin / proc/sys/net/ipv4/ip_forward giá trị 1 như trái ngược với các giá trị mặc định vô hiệu hóa bằng 0.

Sau khi giả mạo đã đạt được bằng cách sử dụng chuỗi POSTROUTING của bảng nat, bạn sẽ phải cấu hình iptables để cho phép các gói tin đến dòng chảy giữa hai giao diện. Để làm điều này, hãy sử dụng chuỗi FORWARD của bảng lọc. Cụ thể hơn, các gói liên quan đến kết nối NEW và ESTABLISHED sẽ được phép đi vào Internet, nhưng chỉ gói tin liên quan đến các kết nối ESTABLISHED sẽ được phép vào. Điều này giúp bảo vệ mạng gia đình từ bất cứ ai cố gắng để bắt đầu kết nối từ Internet:

#--- ---

# Tải các module NAT #

# Lưu ý: Cách tốt nhất là sử dụng / etc / rc.local trong ví dụ này

# Chương. Giá trị này sẽ không được giữ lại trong

# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở.

#--- ---

#--- ---

# Kích hoạt tính năng định tuyến bằng cách sửa đổi file / hệ thống tập tin proc ip_forward

#

# Lưu ý: Cách tốt nhất là sử dụng / etc / sysctl.conf trong ví dụ này

# Chương. Giá trị này sẽ không được giữ lại trong

# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở. #--- --- echo 1> / proc/sys/net/ipv4/ip_forward #--- ---

# Cho phép giả mạo

# - Giao diện eth0 là giao diện internet # - Interface eth1 là giao diện mạng riêng

#--- ---

iptables-A POSTROUTING-t nat-o eth0-s 192.168.1.0/24-d 0 / 0 \ -J Masquerade

#--- ---

# Trước khi giả mạo, các gói dữ liệu được chuyển qua bộ lọc # Chuỗi FORWARD của bảng.

# Cho phép đi ra: mới, các kết nối được thành lập và có liên quan

# Cho phép gửi đến: kết nối thành lập và có liên quan #--- ---

iptables-A FORWARD lọc-o eth0-t-m nhà nước \

- State NEW, ESTABLISHED, LIÊN QUAN-j ACCEPT iptables-A FORWARD lọc-t-i eth0-m nhà nước \

- THÀNH LẬP nhà nước, liên quan-j ACCEPT

Lưu ý: Nếu bạn cấu hình tường lửa của bạn để làm giả mạo, sau đó nếu cần phải

được sử dụng như là các gateway mặc định cho tất cả các máy chủ của bạn trên mạng.

Một phần của tài liệu Đồ án: IPTABLES trên LINUX doc (Trang 41 - 44)

Tải bản đầy đủ (DOC)

(64 trang)
w