Le masquage IP a pour but de permettre aux machines dotées d'adresses IP privées et non routables sur votre réseau d'accéder à Internet via la machine effectuant le masquage. Le trafic de votre réseau privé destiné à Internet doit être manipulé pour que les réponses puissent être acheminées vers la machine à l'origine de la demande. Pour ce faire, le noyau doit modifier le la source Adresse IP de chaque paquet afin que les réponses lui soient acheminées, plutôt que vers l'adresse IP privée à l'origine de la demande, ce qui est impossible sur Internet. Utilisations de Linux Suivi de connexion (conntrack) pour savoir quelles connexions appartiennent à quelles machines et rediriger chaque paquet en conséquence. Le trafic quittant votre réseau privé est donc "masqué" comme provenant de votre ordinateur passerelle Ubuntu. Ce processus est désigné dans la documentation Microsoft par Partage de connexion Internet.
Instructions pour le masquage IP
Cela peut être accompli avec une seule règle iptables, qui peut légèrement différer en fonction de la configuration de votre réseau:
sudo iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o ppp0 -j MASQUERADE
La commande ci-dessus suppose que votre espace d'adressage privé est 192.168.0.0/16 et que votre périphérique orienté Internet est ppp0. La syntaxe est décomposée comme suit:
- -t nat - la règle est d'aller dans la table nat
- -A POSTROUTING - la règle doit être ajoutée (-A) à la chaîne POSTROUTING
- -s 192.168.0.0/16 - la règle s'applique au trafic provenant de l'espace d'adressage spécifié
- -o ppp0 - la règle s'applique au trafic devant être routé via le périphérique réseau spécifié
- -j MASQUERADE - le trafic correspondant à cette règle consiste à "sauter" (-j) vers la cible MASQUERADE à manipuler de la manière décrite ci-dessus.
Chaque chaîne de la table de filtrage (la table par défaut et la ou la plupart des filtrages de paquets sont utilisés) a une valeur par défaut. politique d’ACCEPTER, mais si vous créez un pare-feu en plus d’un périphérique de passerelle, vous pouvez avoir défini les stratégies sur DROP ou REJECT. Dans ce cas, votre trafic masqué doit être autorisé par la chaîne FORWARD pour que la règle ci-dessus fonctionne:
sudo iptables -A FORWARD -s 192.168.0.0/16 -o ppp0 -j ACCEPTER sudo iptables -A FORWARD -d 192.168.0.0/16 -m état --état ÉTABLI, CONNEXE -i ppp0 -j ACCEPT
Les commandes ci-dessus permettront à toutes les connexions de votre réseau local à Internet et à tout le trafic lié à ces connexions de revenir à la machine qui les a initiées.
* Licence
* Guide du serveur Ubuntu Index
