検索

18.5. FORWARD および NAT ルール

download PDF
ほとんどの ISP は、サービスを提供する組織に公開されているルーティング可能な IP アドレスのみを提供します。
管理者は、LAN 上の全ノードにパブリック IP アドレスを指定せずにインターネットサービスへのアクセスを共有する代替方法を見つける必要があります。プライベート IP アドレスの使用は、LAN 上の全ノードが内部および外部のネットワークサービスに適切にアクセスできるようにする最も一般的な方法です。
エッジルーター(ファイアウォールなど)は、インターネットから着信送信を受け取り、パケットを目的の LAN ノードにルーティングすることができます。同時に、ファイアウォール/ゲートウェイは、LAN ノードからリモートインターネットサービスに送信要求をルーティングすることもできます。
ネットワークトラフィックの転送により、特に 内部 IP アドレスのなりすましや、リモート攻撃者のマシンが LAN のノードとして機能する可能性がある最新のクラッキングツールが利用可能になると、危険にさらされる可能性があります。
これを防ぐために、iptables は、ネットワークリソースの異常な使用を防ぐために実装可能なルーティングおよび転送ポリシーを提供します。
管理者は、FORWARD チェーンを使用して、LAN 内でパケットをルーティングできる場所を制御できます。たとえば、(firewall/gateway に eth1 の内部 IP アドレスが割り当てられていることを前提とします)、以下のルールを使用します。
[root@myServer ~ ] # iptables -A FORWARD -i eth1 -j ACCEPT
[root@myServer ~ ] # iptables -A FORWARD -o eth1 -j ACCEPT
このルールは、ファイアウォールの背後にあるシステムに内部ネットワークへのアクセスを付与します。ゲートウェイは、1 つの LAN ノードから目的の宛先ノードにパケットをルーティングし、eth1 デバイスを介してすべてのパケットを渡します。
備考
デフォルトでは、Red Hat Enterprise Linux カーネルの IPv4 ポリシーは IP 転送のサポートを無効にします。これにより、Red Hat Enterprise Linux を実行するマシンが専用の edge ルーターとして機能しなくなります。IP 転送を有効にするには、以下のコマンドを使用します。
[root@myServer ~ ] # sysctl -w net.ipv4.ip_forward=1
この設定変更は、現行セッションでのみ有効で、再起動またはネットワークサービスの再起動後も維持されません。IP 転送を永続的に設定するには、以下のように /etc/sysctl.conf ファイルを編集します。
以下の行を見つけます。
net.ipv4.ip_forward = 0
この設定を以下のように編集します。
net.ipv4.ip_forward = 1
以下のコマンドを使用して sysctl.conf ファイルへの変更を有効にします。
[root@myServer ~ ] # sysctl -p /etc/sysctl.conf

18.5.1. POSTROUTING and IP Masquerading

ファイアウォールの内部 IP デバイスを介して転送されたパケットを受け取ると、LAN ノードは相互に通信できますが、インターネットに外部で通信することはできません。
プライベート IP アドレスを持つ LAN ノードが外部のパブリックネットワークと通信できるようにするには、IP マスカレード のファイアウォールを設定します。これにより、LAN ノードの要求をファイアウォールの外部デバイスの IP アドレスでマスクします(この場合は eth0)。
[root@myServer ~ ] # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
このルールは NAT パケットマッチングテーブル(-t nat)を使用し、ファイアウォールの外部ネットワークデバイス(-o eth0)上の NAT(-A POSTROUTING)の組み込み POSTROUTING チェーンを指定します。
POSTROUTING により、パケットの変更はファイアウォールの外部デバイスから出る際に変更できます。
-j MASQUERADE ターゲットを指定して、ファイアウォール/ゲートウェイの外部 IP アドレスでノードのプライベート IP アドレスをマスクします。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.