NATとパケット修飾iptablesで我々どのようにネットワークアドレス変換(NAT)およびポートアドレス変換(PAT)を実行する方法を学習しますこの記事は、またために、ネットワークアドレスとポート変換(NAPTは)、iptablesで呼ばれるの最初の部分では。その後、私たちがパケットを修飾であり、どのようにパケットをマングル方法を学びます。 短期導入のNATとPAT(NAPTは)へ
TCP / IPの動作方法には、ホストの順序でによると、インターネット上で通信するためには、それぞれ固有のIPアドレスを持つ必要があります。
|
| SNATをiptablesで、導入され、netfilter内のカーネルよりも低い2.4には存在しなかった。しかし、マスカレードiptablesでのPPPアダプタのようなインターフェイスをいうだけの理由では、動的に割り当てられたIPアドレスが保持され、よりもむしろマスカレードを行うには、動的に割り当てられたIPアドレスとSNATを行う検索が簡単です。 |
場合は、コンピュータSNATedているかマスカレードは、Linuxルータ192.168.1.3から1.1.1.1にし、そのパケットのヘッダー内のIPアドレスは、ソースが変更されます2.2.2.2は、ルーティングプロセスによると、向かってパケットを通過されます。情報については、この接続に格納されは、/ proc / netで/ ip_conntrack。
いつ2.2.2.2応答は、LinuxルータのIP 1.1.1.1アドレス2.2.2.2および宛先IPアドレスのソースになります到着すると、IPパケット。このパケットに関する情報は、Linuxの検索の/ proc / netで/ ip_conntrack、および情報は、前の手順で保存されて一致する。この時点で、Linuxは192.168.1.3とは、パケットヘッダー内の宛先IPアドレスが変更され、ルーティングプロセスによると、NATをコンピュータに向かって、IPパケットを通過します。
DNATの元または宛先ネットワークアドレス変換マップは、プライベートIPアドレスをパブリックIPアドレスです。 DNATのSNATとは逆ですので、もしSNATをパブリックIPアドレスとDNATのには、同じプライベートIPアドレスに同じパブリックIPアドレスを変換するためのプライベートIPアドレスを変換するには、結果が出る フルのNAT。
DNATを通常するときにNATの内側にサーバーがあるので、同じパブリックIPアドレスを別のプライベートIPアドレスにマップされて使用されるポートまたはプロトコルに応じて対処します。このプロセスも呼ばれて ポートフォワーディング。
これは、このプライベートIPアドレスであり、インターネット上でルーティングされていない通常、2.2.2.2 192.168.1.3への通信を開始することはできません。
2.2.2.2 1.1.1.1との接続を開始しようとします。もしDNATのルールは、このパケットに一致すると、Linuxルータ1.1.1.1から192.168.1.3には、192.168.1.3に向かってパケットを渡すと、IPパケットのヘッダー内の宛先IPアドレスを変更し、この接続を追跡する。
ので、""は、パケットが接続2.2.2.2で1.1.1.1に開始に属している知っているときに192.168.1.3返信すると、パケットは、Linuxルータのconntrackテーブルにあります。 Linuxルータ192.168.1.3から1.1.1.1には、IPパケットのヘッダー内のIPアドレスは、ソースが変更されます。
| 、2.2.2.2 192.168.1.3に、宛先IPアドレスとして1.1.1.1を使用して接続を確立することができる場合、DNATの設定ですが、SNATとされていないが、192.168.1.3 2.2.2.2への接続を開始することができなくなります。 |
言い換えれば、完全なNATと、以前の発表SNATとし、DNATのです。
これは、SOHOルータを"DMZ"、前述の説明を呼び出す関数です。彼らは、この関数を"DMZを呼び出す理由は、"IPパケットは、接続は、プライベートネットワーク192.168.1.0/24からのすべてのホストによって開始さ192.168.1.3に転送されるため、属していないので、このホストを持っていません保護は、実際には、プライベートIPアドレスを持ってによって提供される。
| だけを提示した場合には、1.1.1.1は、NATルータのIPアドレスまたはことができる、単純にそれにルーティングすることができます。場合は、ルータのパブリックIPアドレスの(以前の図のように)は、NATルータは、インターネットからので、192.168.1.3へのすべてのパケットを転送します(それにSSHできないなど)にアクセスすることはできません。 |
PATは、ポートアドレス変換を表してもNAPTは、どのネットワークアドレスとポートの翻訳のためのスタンドと呼ばれます。 PATの背後にあるアイデアだけでなく、IPアドレスに変換するだけでなく、特定のホストとポートのポート番号です。
同社のWebサーバーがNATの後ろにいて、それがIPアドレスが192.168.1.100ている。唯一の1つのパブリックIPアドレス、http://www持つ。
これ以上、私たちは、ポート80上のWebサーバーを実行しているIPアドレスが192.168.1.200で、企業のイントラネットサーバーがあります。ときに、オフィスにいると、従業員、自分のWebブラウザに入力http://192.168.1.200する必要がありますし、彼らは、イントラネットのWebサーバーにログオンできます。
もし我々のユーザーがイントラネットサーバーにするときには、オフィスの外にいるにログオンできるように、PATの答えが欲しい。 PATのでは、私たち()2143例えば、それは、NATルータ上で開かれていないのポートを選択するたびに、要求をIPアドレスと宛先ポート2143 217.156.123.3アドレスを宛先とは、インターネットから来ると、NATルータは、宛先IPアドレスを書き換える宛先ポートを192.168.1.200と2143人から80人へ。
この方法では、インターネットからの場合、ユーザーのタイプ:
我々は、ポートをリライトするときにパケットの送信元IPアドレスが192.168.1.200ている必要はありません。我々だけでように、イントラネットのサーバにアクセスするインターネット1.1.1.1を使用してSNATとやマスカレードを設定する必要があります。
|
|