WeWereRock
IP MASKELEME (MASQUERADİNG)
Çoğu kurum sadece bir tane IP adresine sahiptir. Genellikle içerdeki makinelerin sanal IP adresleri vardır. Internet’e çıkışlar gerçek IP adresinin bulunduğu makine üzerinden yapılır. İçerdeki sanal adreslerin bu şekilde internet’e çıkabilmesine IP Maskeleme (Masquerading) denir.
İçerideki makineler ağ geçidi olarak Linux makinenin iç hatta bakan ağ kartının IP adresine ayarlanır. Bu kartın adresi genelde 192.168.1.1 adresine sahiptir. Sanal adrese sahip makineler Internet’teki bir kaynağa erişmek istediklerinde Linux bu isteği sanki kendisi yapıyormuş gibi kaynaktan alır ve iç hattaki makineye verir.
IP maskelemede ftp bağlantılarının sağlanabilmesi için ip_conntrack ve ip_conntrack_ftp çekirdek modüllerinin yüklenmesi gerekir, bu aşağıdaki komutlar ile gerçekleştirilir :
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp
Eğer çıkış ağ kartı modem ise (ppp0), maskeleme için aşağıdaki komutun işletilmesi yeterlidir :
# iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE
Güvenlik duvarı ile birlikte IP Maskelemede yapılacaksa, /etc/sysconfig/iptables dosyasının yapısı aşağıdaki gibi olmalıdır :
*fitler
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT –p icmp –j ACCEPT
-A INPUT –p tcp –m –dport 80 –j ACCEPT
-A INPUT –p tcp –m –dport 25 –j ACCEPT
-A INPUT –p tcp –m –dport 110 –j ACCEPT
-A INPUT –p tcp –m –dport 22 –j ACCEPT
-A INPUT –p tcp –m –dport 443 –j ACCEPT
-A INPUT –i lo –j ACCEPT
-A INPUT –m state –state INVALID, NEW –j DROP
-A FORWARD –m state –state INVALID,NEW –j DROP
COMMIT
*nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING –o ppp0 –j MASQUERADE
COMMIT
Çıkış ara yüzü bir ağ kartı ise, bu kart ppp0 yerine yazılmalıdır.
Kaynak Uzmanlar İçin) Linux Ağ Servisleri adlı kitaptan tarafımdan derlenerek yazılmıştır.
Çoğu kurum sadece bir tane IP adresine sahiptir. Genellikle içerdeki makinelerin sanal IP adresleri vardır. Internet’e çıkışlar gerçek IP adresinin bulunduğu makine üzerinden yapılır. İçerdeki sanal adreslerin bu şekilde internet’e çıkabilmesine IP Maskeleme (Masquerading) denir.
İçerideki makineler ağ geçidi olarak Linux makinenin iç hatta bakan ağ kartının IP adresine ayarlanır. Bu kartın adresi genelde 192.168.1.1 adresine sahiptir. Sanal adrese sahip makineler Internet’teki bir kaynağa erişmek istediklerinde Linux bu isteği sanki kendisi yapıyormuş gibi kaynaktan alır ve iç hattaki makineye verir.
IP maskelemede ftp bağlantılarının sağlanabilmesi için ip_conntrack ve ip_conntrack_ftp çekirdek modüllerinin yüklenmesi gerekir, bu aşağıdaki komutlar ile gerçekleştirilir :
# modprobe ip_conntrack
# modprobe ip_conntrack_ftp
Eğer çıkış ağ kartı modem ise (ppp0), maskeleme için aşağıdaki komutun işletilmesi yeterlidir :
# iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE
Güvenlik duvarı ile birlikte IP Maskelemede yapılacaksa, /etc/sysconfig/iptables dosyasının yapısı aşağıdaki gibi olmalıdır :
*fitler
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT –p icmp –j ACCEPT
-A INPUT –p tcp –m –dport 80 –j ACCEPT
-A INPUT –p tcp –m –dport 25 –j ACCEPT
-A INPUT –p tcp –m –dport 110 –j ACCEPT
-A INPUT –p tcp –m –dport 22 –j ACCEPT
-A INPUT –p tcp –m –dport 443 –j ACCEPT
-A INPUT –i lo –j ACCEPT
-A INPUT –m state –state INVALID, NEW –j DROP
-A FORWARD –m state –state INVALID,NEW –j DROP
COMMIT
*nat
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING –o ppp0 –j MASQUERADE
COMMIT
Çıkış ara yüzü bir ağ kartı ise, bu kart ppp0 yerine yazılmalıdır.
Kaynak Uzmanlar İçin) Linux Ağ Servisleri adlı kitaptan tarafımdan derlenerek yazılmıştır.
Alıntıdır !.//Konuyu Hazırlayan Arkadaşa Teşekkürlerimi Sunuyorum //
Moderatörün son düzenlenenleri: