it-swarm.com.de

Was ist MASQUERADE im Kontext von iptables?

In iptables sehe ich oft das Ziel MASKERADE. Was ist das? Ich habe viele Dinge gesucht und gefunden. Aber ich brauche jemanden, der mir erklärt, was MASKERADE einfach zu verstehen ist?

Ein Beispiel (entnommen aus diese Antwort ) ist:

Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
36

Es ist ein Algorithmus, der von der Implementierung von iptables abhängig ist und das Weiterleiten von Verkehr ermöglicht, ohne den ursprünglichen Verkehr zu stören.

Ich verwende den Maskerade-Algorithmus, wenn ich einen virtuellen WLAN-Adapter erstellen und mein WLAN freigeben möchte.

Ich spreche NICHT über das Teilen der Ethernet-Verbindung über Ihr WLAN. Ich spreche über das Teilen der WLAN-Verbindung über Ihr WLAN, indem ich sie auf einen virtuellen Adapter maskiere. Auf diese Weise können Sie Ihre WLAN-Verbindung über WLAN freigeben.

.

.

Lesen Sie dies und scrollen Sie nach unten zu MASQUERADE: http://billauer.co.il/ipmasq-html.html

Lesen Sie dies genauer durch: http://oreilly.com/openbook/linag2/book/ch11.html

All diese Fragen zu "Connectify for Linux" können mit der Implementierung von MASQUERADE algo gelöst werden.

Ein direktes Beispiel finden Sie auf dieser Seite: http://pritambaral.com/2012/05/connectify-for-linux-wireless-hotspot/

ICH HABE DEN LETZTEN LINK NICHT GELESEN !!!! Aber das Folgende ist ein genauer Auszug/Beispiel.

Sudo sysctl -w net.ipv4.ip_forward=1
Sudo iptables -A FORWARD -i wlan0 -j ACCEPT
Sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Ich mag es wirklich nicht, wie Suchmaschinen den Algorithmus zu einer bösen Art von Hack machen. Ich benutze ihn nur, um mein Internet mit meinen Android Handys zu teilen.

FINAL EDIT: Dieser Link ist der beste http://gsp.com/cgi-bin/man.cgi?section=3&topic= Libalias

30
Banned_User

MASQUERADE ist ein iptables-Ziel, das anstelle des SNAT-Ziels (Quell-NAT) verwendet werden kann, wenn die externe IP-Adresse der inet-Schnittstelle zum Zeitpunkt des Schreibens der Regel nicht bekannt ist (wenn der Server die externe IP-Adresse dynamisch erhält).

33

IP Masquerade wird auch als Network Address Translation (NAT) und Network Connection Sharing bezeichnet. Dies ist im Grunde eine Methode, mit der ein Computer, der keine öffentliche, internetweite IP-Adresse hat, mit anderen Computern im Internet kommunizieren kann, wobei ein anderer Computer zwischen ihm und dem Internet sitzt.

Wie Sie wissen, werden im Internet IP-Adressen verwendet, um Maschinen zu identifizieren. Bei einem Paket mit einer IP-Adresse weiß jeder Router, aus dem das Internet besteht, wohin das Paket gesendet werden muss, um es an sein Ziel zu bringen. Nun gibt es auch einige Bereiche von IP-Adressen, die für den privaten Gebrauch in lokalen Netzwerken und anderen Netzwerken reserviert sind, die nicht direkt mit dem Internet verbunden sind. Diese privaten Adressen werden garantiert nicht im öffentlichen Internet verwendet.

Dies führt zu Problemen bei Computern, die mit privaten Netzwerken verbunden sind und private IP-Adressen verwenden, da sie nicht direkt mit dem Internet verbunden werden können. Sie haben keine IP-Adresse, die im öffentlichen Internet verwendet werden darf. IP Masquerade löst dieses Problem, indem ein Computer mit einer privaten IP-Adresse mit dem Internet kommunizieren kann und gleichzeitig die Pakete des Computers so geändert werden, dass anstelle der ursprünglichen privaten IP-Adresse eine gültige öffentliche IP-Adresse verwendet wird. Pakete, die aus dem Internet zurückkehren, werden so geändert, dass sie die ursprüngliche IP-Adresse verwenden, bevor sie den privaten IP-Computer erreichen.

Hinweis dass dies nicht auf das Internet-Netzwerk beschränkt ist maskieren/NAT kann verwendet werden, um Verkehr von einem Netzwerk zu einem anderen zu leiten, sagen wir 10.0.0.0/24 und 192.168.0.0/24

Iptables Maskerade-Regel kann durch SNAT-Regel ersetzt werden

iptables -t nat -A POSTROUTING -o eth2 -s 10.0.0.0/24  -j MASQUERADE

=

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth2 -j SNAT --to-source 192.168.1.2
# supposing eth2 assigned ip is 192.168.1.2

Sowohl masquerade als auch snat erfordern ip_forward auf Kernelebene mit echo "1" > /proc/sys/net/ipv4/ip_forward oder dauerhaft durch Bearbeiten der Einstellungsdatei nano /etc/sysctl.conf aktiviert.

IP Forward bewirkt, dass sich das Gerät wie ein Router verhält und Pakete von allen aktiven Schnittstellen logisch durch das Zielnetzwerk (lokal/net/other/etc) umleitet/weiterleitet oder der Routentabelle folgt. Beachten Sie, dass die Aktivierung von ip_forward ein erhebliches Sicherheitsrisiko mit sich bringen kann. Wenn sich ip_forward nicht vermeiden lässt, muss es durch zusätzliche iptables/route-Regeln überwacht/gesichert werden.

6
intika