SNAT مع [إيبتبلس]

حتى الآن ، وبحثنا في المبادئ العامة نات ، نات أنواع ، ولكل نوع ما من نات لا.
netfilter / [إيبتبلس] يمكن استخدامها لأداء نات في أي من السبل التي ناقشناها. في الواقع ، هناك العديد من الاشياء التي يمكنك القيام به مع [إيبتبلس] في هذا المجال ، وسوف نسعى لتغطية اكبر قدر ممكن في هذه المقالة. قبل أن نصل إلى هناك ، دعونا نرى ما نحتاج إلى أن نكون قادرين على النجاح في أداء نات على لينكس.

إعداد النواة

عادة ، كل توزيعات لينكس تأتي مع النواة المترجمة مع دعم netfilter ، [إيبتبلس] أداة ، وجميع الوحدات المطلوبة لأداء ترجمة عنوان الشبكة.
وHowTo جيدة جدا على تجميع لينكس 2.4 و 2.6 حبات من تأليف كوان لوي ويمكن الاطلاع على http://www.digitalhermit.com/linux/Kernel-Build-HOWTO.html
عند ترجمة نواة جديدة أو اعادة تجميع النواة التي لديك ، يجب عليك تعيين NETFILTER = ذ لكي تتمكن من استخدام [إيبتبلس]. في حبات 2.6 ، هذا الخيار هو عادة وجدت تحت برامج تشغيل الأجهزة | شبكة دعم | شبكة دعم (صافي [= ذ]) | الشبكات خيارات، لكنها في الحقيقة تعتمد على إصدار النواة.
على سبيل المثال ، في النواة 2.6.14 ، هذا الخيار هو العثور على تحت الشبكات | الشبكات خيارات.
إذا كنت تستخدم جعل menuconfig أو جعل xconfig لتكوين نواة لاعادة تجميع ، حدد الشبكات | الشبكات خيارات | شبكة تصفية الحزمة (يستبدل ipchains) | الملكية الفكرية : تكوين Netfilter.
في الملكية الفكرية : تكوين Netfilter القسم ستجد الخيارات اللازمة لنات على النحو التالي :
أو IP_NF_CONNTRACK تتبع اتصال (اللازمة لmasq / نات) يحتفظ بسجل الحزم الملكية الفكرية التي مرت عبر الجهاز من أجل تمرير عليها بشكل صحيح في النهاية عندما NATed الطلبات المقدمة من تلك التي يتم الرد عليها. هذا أمر حيوي لنات. إذا كنت أقول لا هنا ، أنت لن تكون قادرة على أداء نات.

نات netfilter الجدول

الجدول نات يحتوي على ثلاث سلاسل - PREROUTING ، POSTROUTING ، والإخراج. كل سلسلة قد تحتوي على القواعد التي درست بالتتابع حتى واحدة من القواعد علبة مباريات وهو نفس رصيد لسلاسل في الجدول netfilter. ويمكن أن ينظر إلى هذه السلاسل بإصدار الأوامر [إيبتبلس] نات تي لام.
وiptable_nat وحدات ip_conntrack عند إصدار أي أوامر مع [إيبتبلس] نات ر ؛ لذلك ليس هناك حاجة إلى استخدام المرافق لينكس insmod أو modprobe لنات للعمل.
سلسلة الناتج لا يؤيد تأييدا كاملا ، وبالتالي سيكون لدينا لتجاهل ذلك في الوقت الراهن.
وPREROUTING وسلاسل POSTROUTING لها أسماء ذات مغزى. سلسلة PREROUTING يتم تحليلها من قبل النواة التوجيه قبل اتخاذ أي قرار في هذا الصدد. بالتالي ، ما ينبغي أن نفعله في سلسلة PREROUTING هو تغيير عنوان بروتوكول الإنترنت من جهة ، ثم ترك الأمر لعملية التوجيه للعثور على الوجهة التي نقوم فقط بتغيير (DNAT).
سلسلة POSTROUTING يحتوي على القواعد التي يحلل النواة بعد قرار التوجيه في هذا الصدد. وهذا يعني أن لدينا المسار إلى الوجهة ، وحتى نتمكن من تغيير عنوان المصدر إذا كان هذا المسار هو خارج شبكتنا (SNAT).

SNAT مع [إيبتبلس]

SNAT هي واحدة من الأنواع الأكثر شيوعا من نات مع [إيبتبلس] بسبب المخطط استخدامها.
دعونا نرى ، على سبيل المثال ، في السيناريو التالي :
شبكة 192.168.1.0/24 هو في مكتبنا. لدينا اتصال إيثرنت من رزقنا ، والتي تسند لنا 1.2.3.1/30 عنوان بروتوكول الإنترنت والبوابة الافتراضية 1.2.3.2.
جميع أجهزة الكمبيوتر في شبكة 192.168.1.0/24 والعبارة الافتراضية لتعيين 192.168.1.1.
لدينا جهاز التوجيه لينكس اثنين إثيرنت :

eth0 ، مع الملكية الفكرية للتصدي 192.168.1.1 وقناع الشبكة 255.255.255.0 ، متصلا التبديل التي تربط الأجهزة الأخرى في شبكة 192.168.1.0/24.
eth1 ، مع الملكية الفكرية للتصدي 1.2.3.1 وقناع الشبكة 255.255.255.252 ، متصلا موفر للقانون (العملاء المباني والمعدات) ، والذي يمكن أن يكون جهاز مودم ، ومودم الكابل ، وتحويل وسائل الإعلام ، إلخ.

يمكننا اقامة SNAT حتى يتسنى لجميع الأجهزة في 192.168.1.0/24 الوصول إلى شبكة الإنترنت مع قاعدة واحدة فقط :

[إيبتبلس] نات ر ألف POSTROUTING - ق 192.168.1.0/24 SNAT - ي -- ل1.2.3.1

هذا الأمر له نفس مفعول الأمر التالي ، وهو ما من شأنه أن استخدام إذا الملكية الفكرية للتصدي eth1 تم تعيين حيوي ، أو إذا استخدمنا مودم الاتصال الهاتفي بدلا من بطاقة إيثرنت :

[إيبتبلس] نات ر ألف POSTROUTING - ق 192.168.1.0/24 ي - حفلة تنكرية

دعونا نقول لدينا مرشحات مزود بها جميع الموانئ أعلى من 1024. في هذه الحالة ، سنكون في حاجة الى تغيير منفذ المصدر كذلك ، وليس فقط في عنوان المصدر. ويمكن القيام بذلك عن طريق :

[إيبتبلس] نات ر ألف POSTROUTING - ق ي 192.168.1.0/24 - SNAT -- ل1.2.3.1 :1-1024

للمستخدم الكمبيوتر المحمول ينظر في الرقم السابق هو مشجع المركز وانه يعطينا الدعوة قائلا انه لا يمكن الاتصال بأي شبكات المركز. وهذا يعني أن وحدة ip_conntrack يحتاج إلى القليل من المساعدة ، ويمكننا أن نعطيه وذلك بإضافة وحدة ip_conntrack_irc في النواة. أيضا ، ربما كنا نريد للسماح للمستخدمين إجراء اتصالات بروتوكول نقل الملفات بنجاح ، وهكذا نريد لإضافة وحدة نمطية ip_conntrack_ftp كذلك.

modprobe ip_conntrack_irc # أو insmod ip_conntrack_irc
modprobe ip_conntrack_ftp # أو insmod ip_conntrack_ftp

بعد بضعة أسابيع ، للمستخدم الكمبيوتر المحمول أقنع المستخدمين الآخرين في الشبكة من 192.168.1.0/24 كم هو رائع في الايرسي هو ، لذا لدينا نحو 20-30 يربط المستخدمين إلى نفس المركز الشبكة. الآن ، وأنهم بدأوا يشتكون من صعوبة الحصول على اتصال على شبكة المركز ، وذلك لأن المركز لا تسمح شبكة اتصالات قليلة من نفس عنوان بروتوكول الإنترنت. علينا أن الرقم 32 عناوين بروتوكول الإنترنت هي كافية بالنسبة لهم ، لذلك فإننا ندعو إلى مزود لتعيين لنا / 27 العامة للملكية الفكرية فرعية. دولار اضافي لمدة قليلة ، وأنها تعيين لنا 1.2.4.0/27. لدينا لتغيير الحكم الأولي إلى ما يلي :

�

[إيبتبلس] نات ر ألف POSTROUTING - ق 192.168.1.0/24 SNAT - ي -- ل1.2.4.0-1.2.4.32

يتوقفوا عن الشكوى ، ولكن علينا أن ندرك أننا لا نستخدم الجمهور الملكية الفكرية للتصدي لدينا جهاز التوجيه لنات لينكس بعد الآن. دعونا نضيف بأن جدا ، لذا نحن نعطيهم اضافي عنوان بروتوكول الإنترنت :

[إيبتبلس] نات ر ألف POSTROUTING - ق ي 192.168.1.0/24 - SNAT -- ل1.2.4.0-1.2.4.32 -- ل1.2.3.1

واحدة من مستخدمينا يحصل في حجة على المركز ، ويحصل في حين غمرت المياه SNAT mapps له عنوان بروتوكول الإنترنت ل1.2.4.15. رزقنا والفيضانات نظام الكشف تلقائيا الفلاتر التي تتناول الملكية الفكرية ، وترسل لنا رسالة بريد إلكتروني إعلامنا حول هذا الموضوع. نحن نحتاج الى وقف لSNAT خريطة أية عناوين داخلية لهذا العنوان ، لذلك فإننا نقوم بما يلي :

[إيبتبلس] نات ر ألف POSTROUTING - ق ي 192.168.1.0/24 - SNAT -- ل1.2.4.0-1.2.4.14 -- ل1.2.4.16-1.2.4.32 -- ل1.2.3.1

شخص واحد من المحاسبة مع الملكية الفكرية للتصدي 192.168.1.19 يشكو من أنه لا يمكن الوصول إلى أي أجهزة الكمبيوتر مع عناوين بروتوكول الإنترنت عبر 192.168.1.32. فمن الممكن انه قد غير رأيه ل255.255.255.227 قناع الشبكة ، وحتى الملكية الفكرية جميع الحزم من جهاز الكمبيوتر الخاص به إلى أجهزة الكمبيوتر في 192.168.1.0/24 التي ليست في 192.168.1.0/27 تمر عبر جهاز التوجيه لينكس والحصول على SNATed. لحل هذه المشكلة ، لدينا بديلين.
الأول أن لا يكون لSNAT 192.168.1.0/24 عندما يكون المقصد هو جهاز كمبيوتر آخر في 192.168.1.0/24 :

[إيبتبلس] نات ر ألف POSTROUTING - ق 192.168.1.0/24 د -! 192.168.1.0/24 SNAT - ي -- ل1.2.4.0-1.2.4.32 -- ل1.2.3.1

والخيار الثاني هو أن لدينا SNAT فقط الحزم التي تخرج عن eth1 :

[إيبتبلس] نات ر ألف POSTROUTING - ق 192.168.1.0/24 س - eth1 SNAT - ي -- ل1.2.4.0-1.2.4.32 -- ل1.2.3.1

رزقنا متصلا موقع آخر من شركتنا لنفس المعدات ، وبما أننا في شبكة محلية ظاهرية نفسه ، لم يكن لدينا لبناء نفق بين المسارات في كل موقع ، ولكن مجرد طريق الشبكات من خلال جهاز التوجيه لينكس في هذا المكان . في موقع آخر ، لدينا شبكة 192.168.2.0/24. نحن بحاجة إلى أجهزة الكمبيوتر وأجهزة الكمبيوتر اسمحوا لنا الوصول إلى شبكة الاتصال في شبكة 192.168.2.0/24 دون SNATing لهم :

[إيبتبلس] نات تي أنا POSTROUTING - 192.168.1.0/24 - ق د ي 192.168.2.0/24 - اعقد

هذا الأمر سيتم إدراج حكم قبل الحكم نات ؛ حتى إذا كان أي من حزم 192.168.1.0/24 متجهة إلى أي الملكية الفكرية في شبكة 192.168.2.0/24 ، وهذا حكم المباراة وسلسلة لن يكون مزيد من تحليل ، لذلك SNAT لن تتم.
جين ، وزير خارجيتنا ، واشتهرت قهوة جيدة ، ولكن نظرا لأنها حصلت على المركز الحمى ، وانها لا تفعل شيئا بعد الآن. مدير غاضبة حول هذا لكنها لا تريد اطلاق النار جين لانها مدمنة على القهوة الشهير لها ، حتى انها تأتي لتطلب منا أن نفعل شيئا حيال ذلك. هناك اشياء كثيرة يمكننا القيام به في هذه المسألة ، من أجل إسقاط الحزم مثيل من جين (192.168.1.31) عندما تحاول الوصول إلى الموانئ 6666 حتي 6669 في سلسلة POSTROUTING :

[إيبتبلس] نات تي أنا POSTROUTING - ق 192.168.1.31 برنامج التعاون الفني بين ع -- dport 6666:6669 ي - إسقاط

كنا قد ترغب في أن يطلب من مدير جين هو ما يسمح له بأن يفعل. على سبيل المثال ، إذا كان المدير يريد السماح جين فقط الوصول إلى الويب ، يمكننا أن نفعل ما يلي :

[إيبتبلس] نات تي أنا POSTROUTING - ق 192.168.1.31 برنامج التعاون الفني بين ع -- dport! 80 ي - إسقاط

هذه القاعدة لن SNAT جين معالجة الملكية الفكرية عند محاولة الوصول إلى شيء آخر غير المنفذ 80 برنامج التعاون الفني ، ولكن سيكون لها SNAT معالجة الملكية الفكرية عند الحصول على أي خدمات UDP لأن UDP الحزم لن تطابق هذه القاعدة ، حتى أنها سوف تكون قادرة على الوصول إلى أي أسماء النطاقات الخادم خارج شبكتنا.

DNAT مع [إيبتبلس]

سنواصل مع السيناريو السابق لDNAT كذلك. يوم واحد ، ومدير تدعونا نقول أنها تحتاج إلى الوصول إلى جهاز الكمبيوتر الخاص بها من المنزل. بالطبع انها لا تستطيع ان تفعل ذلك نظرا لوضعها الخاص معالجة الملكية الفكرية 192.168.1.50. نقرر أن تخصص واحد من عناوين بروتوكول الإنترنت العامة التي لدينا بالنسبة لها الكمبيوتر المكتبية ، ولكن إذا كنا لإنشاء اسم مستعار على Eth0 لذلك ، فإننا لا تفقد بعض عناوين بروتوكول الإنترنت ، لكنها أيضا لن تكون في نفس شبكة الاتصال مع الاخرين. والحل الأفضل هو الخريطة لمعالجة الملكية الفكرية العامة (دعنا نقول 1.2.4.1) لمكتبها للكمبيوتر الخاص معالجة الملكية الفكرية (192.168.1.50). هذا هو ، بطبيعة الحال ، DNAT :

[إيبتبلس] نات ر ألف PREROUTING - 1.2.4.1 د --ي DNAT -- ل192.168.1.50

ذلك الشيء القادم أن نفعله هو أن ندعو لها واقول له انه كلما كانت تحاول الاتصال مع جهاز الكمبيوتر الخاص بها المكتب من المنزل ، وقالت انها يجب ان الاتصال 1.2.4.1.
لدينا إنترانت الملقم الملكية الفكرية للتصدي 192.168.1.100. شخص واحد من وزارة المالية لديها اتصال واسع النطاق ، ويطلب منا ما اذا كان يمكن الوصول إلى ملقم إنترانت من المنزل. انه يعطينا جمهوره معالجة الملكية الفكرية كما 1.2.5.17. نقول له ان من منزله أنه ينبغي أن نحاول الملكية الفكرية للتصدي له 1.2.4.2 في متصفح الإنترنت ، ونقوم بتنفيذ :

[إيبتبلس] نات ر ألف PREROUTING - 1.2.5.17 - ق د 1.2.4.2 --ع برنامج التعاون الفني -- dport 80 ي DNAT -- ل192.168.1.100

نعتقد اننا قد ترغب في سه إلى ملقم إنترانت من أي مكان. انها لن تكون فكرة حكيمة جدا لرسم خريطة واحدة لمعالجة الملكية الفكرية ملقم إنترانت حيث أنه يعد حيويا بالنسبة لشركتنا ، وإذا حدث خلل سه يتم اكتشاف ، ونحن لا نريد أن يكون خادم للاختراق. وستكون فكرة جيدة لخريطة رفيع رقم منفذ إلى منفذ سه على خادم الشبكة الداخلية (وهذا هو بات أو نابت).

[إيبتبلس] نات ر ألف PREROUTING - د 1.2.4.2 برنامج التعاون الفني بين ع -- dport 65521 - ي DNAT -- ل192.168.1.100:22

بهذه الطريقة ، عندما لا تكون هناك في المكتب ، ونريد أن سه إلى ملقم إنترانت ، فإننا فتح اتصال سه ل1.2.4.2 المنفذ 65521.
بعد حين ، لنفترض أننا تثبيت خادم الويب مع الملكية الفكرية للتصدي 192.168.1.200. خادم الويب هو www.mycompany.whatever ونقطة في نظام أسماء النطاقات إلى 1.2.4.5. لتكون في متناول العالم الخارجي ، وعلينا القيام بما يلي :

[إيبتبلس] نات ر ألف PREROUTING - 1.2.4.5 - برنامج التعاون الفني د ع -- dport 80 ي DNAT -- ل192.168.1.200

شفافة وكيل

الوكيل الشفافة هي وسيلة لإجبار المستخدمين على استخدام ملقم وكيل ، حتى لو لم يتم تكوين المستعرضات ل. ربما كنت أعرف عن فوائد باستخدام ملقم وكيل لتوفير عرض النطاق الترددي الصفحات المخبأة والتحكم في الوصول للتنفيذ (مثل إنكار التنزيلات من الملفات التي لها امتدادات خطيرة).
نستطيع أداء الوكيل شفافة للجميع أو بعض المستخدمين لمنعهم من تجاوز الوكيل وقتما يريدون. هذا جيد بشكل خاص للأطفال في أجهزة الكمبيوتر لمنعهم من الوصول إلى مواقع جنسية صريحة ، على سبيل المثال.
لدينا جهاز التوجيه لينكس ، ونحن على الحبار تثبيت الملقم الوكيل مخبأ لبعض المحتويات من الشبكة. أيضا ، ونحن نريد لمنع الوصول إلى مواقع الجنس أو التنزيلات ضارة بالنسبة للمستخدمين. من المستخدمين ليسوا سعداء لدينا حول استخدام ملقم وكيل ، وأنهم عادة ما إزالته من التكوين الخاص بها المتصفح. نستطيع اجبارهم على استخدام الملقم الوكيل على أي حال. إذا كان الملقم الوكيل يستمع على المنفذ 3128 سنفعل ما يلي :

[إيبتبلس] نات ر ألف PREROUTING - ق 192.168.1.0/24 برنامج التعاون الفني بين ع -- ي dport 80 - توجيه -- إلى الميناء 3128

اذا كنا نريد للسماح للمدير (الذي لديه عنوان بروتوكول الإنترنت 192.168.1.50) لتجاوز الملقم الوكيل ، ونحن نفعل ذلك من هذا القبيل :

[إيبتبلس] نات تي أنا PREROUTING - ق 192.168.1.50 --ع برنامج التعاون الفني -- dport 80 ي اعقد

ولذلك فإن هذا الحكم ، على أن يقابله في سلسلة PREROUTING ، وانها سوف تكون SNATed في سلسلة POSTROUTING.

مقال مقدم من فيليب وكلير

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "SNAT مع [إيبتبلس]" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.