Мы работаем БЕЗ ВЫХОДНЫХ и выезжаем по всему ставропольскому краю.
(8652) 90-40-50
Всегда можно получить качественную консультацию у нашего специалиста по вопросам, связанным с ремонтом компьютеров, ремонтом ноутбуков, настройкой сетей, всем видам компьютерной помощи, позвонив по нашему телефону в городе Ставрополе
90-40-50
Компьютерная помощь и ремонт компьютеров у нас – всегда лучшее решение!
Copyright © 2009 - 2013
Любое цитирование и перепечатка информации разрешается и приветствуется при указании активной ссылки на сайт komp26.ru
Невозможное - возможно: недорого, недолго, нестрашно
w Roman" class="ws12">
Пример сокрытия IP-адресов
С помощью правил netfilter можно осуществлять сокрытие IP-адресов (IP masquerading) - особый вид NAT, при котором пакеты из внутренней сети изменяются таким образом, что выглядят как исходящие из одного IP-адреса. Это часто используется, когда есть ряд машин, объединенных в локальную сеть, и одна из машин подключена к Интернету с единственным IP-адресом. Такая ситуация встречается в домашних сетях, когда провайдер выделяет один IP-адрес. С помощью сокрытия IP-адресов целая сеть машин может совместно использовать этот адрес. В результате того, что шлюз осуществляет сокрытие IP-адресов, все пакеты из внутренней сети будут выглядеть так, будто исходят непосредственно от машины-шлюза, а пакеты из Интернета будут пересылаться обратно нужному хосту во внутренней сети.
Добиться этого можно с помощью определенной хитрой перезаписи пакетов с помощью netfilter. Настроить netfilter для поддержки сокрытия IP-адресов значительно проще, чем объяснить, как это работает! Более полная информация о том, как осуществляются сокрытие IP-адресов и NAT, имеется в «NAT HOWTO». Здесь предполагается, что есть Linux-система, действующая как шлюз для внутренней сети. У шлюза имеется РРР-соединение с Интернетом через интерфейс рррО и соединение с локальной сетью через интерфейс ethO. Предлагаемая конфигурация разрешает исходящие соединения из внутренней сети с Интернетом, но блокирует входящие соединения из Интернета с машинами внутренней сети, за исключением шлюза. Оказывается, для такого режима не нужны специальные команды, поскольку он действует по умолчанию, когда NAT используется подобным образом.
В этом наборе правил нужно отметить некоторые важные детали. Функциональность NAT обеспечивается отдельным модулем, который нужно загрузить, если он не встроен в ядро. Модуль NAT использует новую цепочку с именем P0S-TR0UTING, которая обрабатывает пакеты после того, как ядро выполнит над ними операции маршрутизации (то есть определит, предназначен пакет для Интернета или для машин локальной сети). Параметр MASQUERADE определяет все операции по трансляции адресов и отслеживанию пакетов. Обратите внимание, что в этой конфигурации не происходит фильтрации исходящих соединений. Все хосты частной сети смогут устанавливать исходящие соединения с любыми хостами и любыми портами. В документе «packet filtering HOWTO» есть полезная информация о том, как совместить в одном наборе правил IP-фильтрацию и преобразование сетевых адресов.