Dokumentasi Panduan Pelayan
Tujuan IP Masquerading adalah untuk membolehkan mesin-mesin dengan alamat IP swasta yang tidak dapat diarahkan pada rangkaian anda untuk mengakses Internet melalui mesin yang melakukan penyamaran. Trafik dari rangkaian peribadi anda yang ditakdirkan untuk Internet mesti dimanipulasi untuk balasan yang dapat diselesaikan kembali ke mesin yang membuat permintaan itu. Untuk melakukan ini, kernel mesti mengubah suai alamat IP sumber setiap paket supaya balasan akan dialihkan kembali kepadanya, bukannya ke alamat IP peribadi yang membuat permintaan itu, yang mustahil melalui Internet. Linux menggunakan Penjejakan Sambungan (conntrack) untuk menjejaki sambungan mana yang berkaitan dengan mesin dan jalankan semula setiap paket kembali dengan sewajarnya. Lalu lintas yang meninggalkan rangkaian peribadi anda adalah "menyamar" sebagai berasal dari mesin gerbang Ubuntu anda. Proses ini dirujuk dalam dokumentasi Microsoft sebagai Perkongsian Sambungan Internet.
Arahan Untuk IP Masquerading
Ini boleh dicapai dengan satu peraturan iptables tunggal, yang mungkin sedikit berbeza berdasarkan konfigurasi rangkaian anda:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADEPerintah di atas mengandaikan bahawa ruang alamat peribadi anda ialah 192.168.0.0/16 dan bahawa peranti yang menghadap ke Internet adalah ppp0. Sintaks ini dipecahkan seperti berikut:
- -t nat - peraturannya adalah untuk masuk ke dalam jadual nat
- -A POSTROUTING - peraturannya akan ditambah (-A) ke rantaian POSTROUTING
- -s 192.168.0.0/16 - peraturan terpakai untuk lalu lintas yang berasal dari ruang alamat yang ditentukan
- -o ppp0 - peraturan terpakai untuk lalu lintas yang dijadualkan melalui peranti rangkaian yang ditentukan
- -j MASQUERADE - lalu lintas yang sepadan dengan peraturan ini adalah untuk "melompat" (-j) ke sasaran MASQUERADE untuk dimanipulasi seperti yang dijelaskan di atas
Setiap rantaian dalam jadual penapis (jadual lalai dan di mana kebanyakan atau semua penapisan paket berlaku) mempunyai dasar lalai ACCEPT, tetapi jika anda membuat firewall sebagai tambahan kepada peranti gerbang, anda mungkin telah menetapkan dasar untuk DROP atau TAKUT, dalam hal ini, lalu lintas masquerade anda perlu diizinkan melalui rantaian FORWARD untuk peraturan di atas berfungsi:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPT sudo iptables -A FORWARD -d 192.168.0.0/16 -m state --state ESTABLISHED, RELATED -i ppp0 -j ACCEPTPerintah di atas akan membolehkan semua sambungan dari rangkaian tempatan anda ke Internet dan semua lalu lintas yang berkaitan dengan sambungan tersebut untuk kembali ke mesin yang memulakannya.
* Lesen