Következő Előző Tartalom

9. A NAT és a csomagszűrés együttes használata

Általános dolog a NAT (Network Address Translation) és a csomagszűrés együttes használata. A jó hír az, hogy ezek rendkívül jól párosíthatók is.

Úgy tervezd meg a csomagszűrésedet, hogy a NAT-ot teljes mértékben figyelmen kívül hagyod. A csomagok forrásait és céljait a csomagszűrő "igazi" forrásoknak és céloknak fogja látni. Például, ha DNAT-ot használsz, hogy a 10.1.1.1 IP-cím 8080-as portján keresztül adatokat küldj az 1.2.3.4 IP-cím 80-as portjára, a csomagszűrő csak azt fogja látni, hogy a csomag a 10.1.1.1 cím 8080-as portja felé indult el (ez a csomag "igazi" célja), nem pedig az 1.2.3.4 cím 80-as portja felé. Hasonlóképpen tudod figyelmen kívül hagyni a masqueradingot is: a csomag fejléce alapján annak forrása a 10.1.1.1 cím lesz, és a válaszokat is oda kell majd küldeni.

Használhatod a "state" kiterjesztést anélkül, hogy a csomagszűrőt extra munkára kényszerítenéd, mióta a NAT kapcsolatkövetést igényel. A NAT HOWTO egyszerű masquerading példáját továbbfejlesztve, hogy megakadályozd a ppp0 interfészen bejövő bármilyen új kapcsolatot, ezt kell tenned:

# Kimenő ppp0 forgalom maszkolása
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Új és INVALID csomagok kiszűrése a ppp0 interfészről.
iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP
iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP

# IP forwarding bekapcsolása
echo 1 > /proc/sys/net/ipv4/ip_forward


Következő Előző Tartalom