IP 마스커레이딩 (IP Masquerading)의 목적은 네트워크상의 개인적이고 라우트가 불가능한 IP 주소를 가진 머신이 위장을하는 머신을 통해 인터넷에 액세스 할 수있게하는 것입니다. 인터넷을 향한 개인 네트워크의 트래픽은 응답을 요청한 시스템으로 다시 라우팅 할 수 있도록 조작되어야합니다. 이렇게하려면 커널이 다음을 수정해야합니다. 출처 각 패킷의 IP 주소. 요청을 한 사설 IP 주소가 아닌 인터넷을 통해 불가능한 응답이 회신됩니다. 리눅스 사용 연결 추적 (conntrack)을 사용하여 어떤 연결이 어떤 머신에 속해 있는지 추적하고 그에 따라 각 리턴 패킷을 리 라우트합니다. 사설 네트워크를 떠나가는 트래픽은 우분투 게이트웨이 머신에서 유래 된 것으로 "위장"됩니다. 이 프로세스는 Microsoft 설명서에서 인터넷 연결 공유로 참조됩니다.
IP 마스커레이딩을위한 지시 사항
이는 네트워크 구성에 따라 약간 다를 수있는 단일 iptables 규칙을 사용하여 수행 할 수 있습니다.
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE
위의 명령은 개인 주소 공간이 192.168.0.0/16이고 인터넷 연결 장치가 ppp0이라고 가정합니다. 구문은 다음과 같이 세분화됩니다.
- -t nat - 규칙은 NAT 테이블에 들어갑니다.
- - POSTROUTING - 규칙은 POSTROUTING 체인에 추가됩니다 (-A).
- -s 192.168.0.0/16 - 규칙은 지정된 주소 공간에서 시작된 트래픽에 적용됩니다.
- -o ppp0 - 규칙은 지정된 네트워크 장치를 통해 라우팅되도록 예약 된 트래픽에 적용됩니다.
- -j MASQUERADE -이 규칙과 일치하는 트래픽은 위에 설명 된대로 조작 될 MASQUERADE 대상으로 "점프"(-j)됩니다
필터 테이블의 각 체인 (기본 테이블 및 대부분 또는 모든 패킷 필터링이 발생하는 곳)에는 기본값이 있습니다 정책 ACCEPT가 아니라 게이트웨이 장치 이외에 방화벽을 만드는 경우 정책을 DROP 또는 REJECT로 설정했을 수 있습니다. 위의 규칙이 작동하려면 FORWARD 체인을 통해 위장 된 트래픽을 허용해야합니다.
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j sudo iptables -A FORWARD -d 192.168.0.0/16 -m state --state ESTABLISHED, RELATED -i ppp0 -j ACCEPT
위의 명령을 사용하면 로컬 네트워크에서 인터넷으로의 모든 연결과 해당 연결과 관련된 모든 트래픽을 해당 연결을 시작한 시스템으로 되돌릴 수 있습니다.
* 특허
* 우분투 서버 가이드 색인
