48.8.5. FORWARD および NAT ルール
ほとんどの ISP は、公開されたルーティング可能な IP アドレスの数だけを、それらが提供する組織に限られています。
したがって、管理者は LAN 上の全ノードにパブリック IP アドレスを割り当てずに、インターネットサービスへのアクセスを共有する代替方法を見つける必要があります。プライベート IP アドレスの使用は、LAN 上の全ノードが内部および外部ネットワークサービスに適切にアクセスできるようにする最も一般的な方法です。
エッジルーター(ファイアウォールなど)は、インターネットから受信送信を受信し、パケットを目的の LAN ノードにルーティングすることができます。同時に、ファイアウォール/ゲートウェイは、LAN ノードからリモートインターネットサービスに発信要求をルーティングすることもできます。
ネットワークトラフィックの転送は、特に 内部 IP アドレスを偽装し、リモートの攻撃者のマシンが LAN 上のノードとして機能する最新のクラッキングツールを利用できる場合に危険になる可能性があります。
これを防ぐために、iptables はネットワークリソースの異常な使用を防ぐために実装可能なルーティングおよび転送ポリシーを提供します。
FORWARD チェーンを使用すると、管理者は LAN 内でパケットをルーティングできる場所を制御できます。たとえば、LAN 全体の転送を許可するには(eth1 のファイアウォール/ゲートウェイに内部 IP アドレスが割り当てられていると仮定)、以下のルールを使用します。
iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT
このルールにより、ファイアウォール/ゲートウェイの背後にあるシステムに内部ネットワークへのアクセスが付与されます。ゲートウェイは、1 つの LAN ノードから目的の宛先ノードにパケットをルーティングし、すべてのパケットを
eth1 デバイスを介して渡します。
注記
デフォルトでは、Red Hat Enterprise Linux カーネルの IPv4 ポリシーは IP 転送のサポートを無効にします。これにより、Red Hat Enterprise Linux を実行するマシンが専用のエッジルーターとして機能できなくなります。IP 転送を有効にするには、次のコマンドを使用します。
sysctl -w net.ipv4.ip_forward=1
この設定の変更は現行セッションでのみ有効です。再起動やネットワークサービスの再起動後は維持されません。IP 転送を永続的に設定するには、以下のように
/etc/sysctl.conf ファイルを編集します。
以下の行を見つけます。
net.ipv4.ip_forward = 0
次のように編集します。
net.ipv4.ip_forward = 1
以下のコマンドを使用して、
sysctl.conf ファイルへの変更を有効にします。
sysctl -p /etc/sysctl.conf48.8.5.1. POSTROUTING および IP マスカレード
ファイアウォールの内部 IP デバイス経由で転送されたパケットを受け入れると、LAN ノードが相互に通信することができますが、インターネットに外部から通信することはできません。
プライベート IP アドレスを持つ LAN ノードが外部のパブリックネットワークと通信できるようにするには、IP マスカレード の のファイアウォールを設定します。これにより、LAN ノードからの要求をファイアウォールの外部デバイスの IP アドレスでマスクします(この場合は eth0)。
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
このルールは NAT パケットマッチングテーブル(
-t nat)を使用し、ファイアウォールの外部ネットワークデバイス(-o eth0)上の NAT 用の組み込みの POSTROUTING (-A POSTROUTING)を指定します。
POSTROUTING を使用すると、パケットがファイアウォールの外部デバイスから出るので変更できます。
-j MASQUERADE ターゲットは、ファイアウォール/ゲートウェイの外部 IP アドレスを持つノードのプライベート IP アドレスをマスクするために指定されます。
