iptables - NIC ওরফে আইপিগুলির মধ্যে রাউটিংয়ের জন্য ফরওয়ার্ড আবশ্যক?

আমার একটি সিঙ্গল এনআইসি সহ একটি উবুন্টু বাক্স রয়েছে। বেশ কয়েকটি পরিষেবাদির (যেমন অ্যাপাচি, ডান্সম্যাস্ক, ইত্যাদি) আবদ্ধ করার জন্য, আমি তাদের আলাদা আলাদা ওরফে আবদ্ধ করেছি (উদাহরণস্বরূপ, eth0: 0, ইত্যাদি), যার কয়েকটি সম্পূর্ণ ভিন্ন আইপি রেঞ্জে রয়েছে। যেহেতু আমার সমস্ত ক্লায়েন্ট কম্পিউটারগুলি আমার উবুন্টু বাক্সটিকে তাদের ডিফল্ট গেটওয়ে হিসাবে ব্যবহার করছে, তাই আমি ভাবছিলাম যে এই iptables নিয়মটি প্রয়োজনীয়:

iptables --append FORWARD --in-ইন্টারফেস Eth0: 0 -j ACCEPT (এটি ক্লায়েন্টদের মুখোমুখি হচ্ছে 10.2.0.0/24 এ, যখন এই বাক্সটি আমার ডিএসএল রাউটারের সাথে 192.168.1.1 / 24-তে যোগাযোগ করে)। আমি ইতিমধ্যে আইপি ফরওয়ার্ডিং ইত্যাদি সক্ষম করে রেখেছি

মূলত, আমি জানতে চাই যে বিভিন্ন আইপি রেঞ্জগুলিতে থাকা এলিয়াসগুলির মধ্যে ফরোয়ার্ডিংয়ের প্রয়োজন আছে কিনা (আমি এটির একাধিক, পৃথক এনআইসির মধ্যে প্রয়োজনীয় প্রয়োজন মনে করি তবে মনে রাখবেন আমার কেবল একটি আছে।

আমি আমার আউটবাউন্ড ইন্টারফেসের জন্য এই আইপটিবল বিধি যুক্ত করেছি:

iptables - টেবিল নাট - পোস্ট পুস্তক - আউট-ইন্টারফেস eth0 -j ম্যাসওয়ার্ড

ধন্যবাদ

জ্যারেড

— Sgtmullet
সূত্র

না, কঠোরভাবে বলতে গেলে আপনার দরকার নেই। আপনি ইতিমধ্যে স্পষ্ট করে দিয়েছেন, সম্ভবত সিস্টেমে আইপিভি 4 ফরোয়ার্ড করার অনুমতি দিয়ে এবং মাস্কেরডে নিয়ম অনুসারে আপনি 10.2.0.0/24 সাবনেট থেকে প্রাপ্ত প্যাকেটগুলির সাথে কী করতে চান।

আপনার যদি নিয়মটি খুব কঠোর নীতি প্রয়োগ করা হয়, যেমন স্পষ্টভাবে অনুমোদিত নয় এমন সমস্ত কিছু নিষিদ্ধ , বা অন্য কথায়, আপনি যদি আপনার শেষ iptables নিয়ম হিসাবে ব্যবহার করেন,

  iptables -t filter -j DROP

আপনি যদি এটি ব্যবহার না করেন, বা আপনি নীতি DROP ব্যবহার না করেন, তবে আপনাকে সেই নিয়মের মাধ্যমে স্পষ্টভাবে ফরোয়ার্ডিংয়ের অনুমতি দেওয়ার দরকার নেই কারণ আপনার কর্নেলটি কীভাবে এগিয়ে যেতে হবে সে সম্পর্কে ইতিমধ্যে নির্দেশ দেওয়া হয়েছে। তবে যদি আপনি কঠোর হন, এবং আপনার প্যাকেটগুলি নিয়মটিকে ঘৃণা করার ঝুঁকি চালায়, তবে আপনি এটি আরও ভাল ব্যবহার করতে পারবেন।

বিটিডাব্লু, আইপি এলিয়াস ব্যবহার করবেন না, এগুলি গুরুতরভাবে হ্রাস করা হয়েছে। আপনার যদি ইতিমধ্যে E0 আপ এবং চলমান থাকে তবে নীচের কমান্ডটি

  ip addr add 10.2.0.1/24 dev eth0

একই ঠিকানাটিতে একটি পৃথক সাবনেটে নতুন ঠিকানা যুক্ত করবে। আপনি এটি দিয়ে দেখতে পারে

  ip addr show

তবে ifconfig দিয়ে নয়, অপ্রচলিত অন্য একটি সরঞ্জাম যা আপনার ফেলে দেওয়া উচিত।

— MariusMatutiae
সূত্র

দুর্দান্ত, সত্যিই এটির প্রশংসা করুন! আমি অবশ্যই আইপি অ্যাডারের ব্যবহার শুরু করব, এটি সম্পর্কেও জানতাম না। যদিও সামান্য ব্যাখ্যা, আমি eth0: 0 থেকে পরিসংখ্যান ক্যাপচার করার জন্য ডার্কস্ট্যাট সেট আপ করেছি (10.2.0.0/24 এ আমার ক্লায়েন্টের পিসিগুলির মুখোমুখি ইন্টারফেস)। আমি যেমন করছি আমি যেমন উপাধি ব্যবহার না করি তবে অবশ্যই আমি এটি করতে সক্ষম হবো? 192.168.1.2 / 24 (পোর্টের মুখোমুখি রাউটার) হিট হওয়ার আগে আমার এটি ক্যাপচার করা দরকার, যেহেতু আমি এর সাথে স্কুইড বেঁধে রেখেছি, যা উত্সের আইপিগুলিকে অনিয়ম করে দেবে (আমি প্রতি আইপি ট্রাফিক দেখতে চাই, তাই কেন আমি এথ0 এর সাথে আবদ্ধ করছি): 0. আমি কি কিছু মিস করছি? আপনার সময়ের জন্য ধন্যবাদ :)

— Sgtmullet

@ এসজিটিএমলেট আমি ডার্কস্ট্যাটের সাথে পরিচিত নই, তবে আমি টিসিপিডম্প এবং ওয়্যারশার্কের সাথে পরিচিত, যা ডার্কস্ট্যাটের মতো কেবল প্যাকেট স্নিফার are উভয়ের মধ্যেই আপনি কোনও ডিভাইস এথ0 বিজ্ঞাপন ব্যবহারের জন্য নির্দেশনা দিতে পারেন তবে আইপিতে ট্র্যাফিক সীমাবদ্ধ করে 10.2.0.1। আমি অনুমান করার উদ্যোগ নিয়েছিলাম যে এটি অন্ধকারের মধ্যেও করা সম্ভব হবে। অন্য কথায়, আপনার কেবলমাত্র ইন্টারফেসের ভিত্তিতে নয় বরং গন্তব্য আইপি ঠিকানার ভিত্তিতে ট্র্যাফিক নির্বাচন করতে সক্ষম হওয়া উচিত।

— মারিয়াসমাতুটিয়

অর্থে তোলে :) শেষ পর্যন্ত, এই অতিরিক্ত আইপি ঠিকানাগুলি (বিদ্যমান অ্যাডাপ্টারের সাথে যুক্ত) কি পুনরায় বুট করার পরে থাকবে? যদি এটি হয় তবে, আমি অনুমান করি যে তাদের আর প্রয়োজন না হলে আমাকে আসলে ম্যানুয়ালি সরিয়ে ফেলতে হবে?

— Sgtmullet

না, তারা পুনরায় বুট করার পরে সেখানে নেই। আপনি উপরের কমান্ডটি /etc/rc.local এ যোগ করতে পারেন, বা আরও ভাল, আপনি একটি বোনের সাইটে এই পোস্টে প্রস্তাবিত ফাইল / ইত্যাদি / নেটওয়ার্ক / ইন্টারফেসগুলি সংশোধন করতে পারেন, সার্ভারফল্ট / প্রশ্ন / ৪৪84730০ / how- this-aliasing-work । এছাড়াও, প্রশ্নে ঠিকানা মুছতে, কেবল কমান্ডটি জারি করুন: ip adder del 10.2.0.1/32 dev eth0 । আপনার কাছে iproute2 এর পুরানো সংস্করণ থাকলে 32 ছাড়া একই কমান্ড ।

— মারিউস ম্যাটুটিয়ায়

আমি দেখতে পেলাম যে আমি যদি এটি আমার / ইত্যাদি / নেটওয়ার্ক / ইন্টারফেসগুলিতে যুক্ত করি এবং নেটওয়ার্কিং পুনরায় চালু করি, আরটিএনইটি LINK অভিযোগ করে "ফাইল বিদ্যমান"। আমার কেবলমাত্র একটি একক ডিফল্ট গেটওয়ে সেট রয়েছে তাই এটি বিভ্রান্তিকর। আমি যদি আপনার পদক্ষেপগুলি যথাযথভাবে অনুসরণ করি তবে আমি যখন "/etc/init.d/ নেটওয়ার্কিং পুনরায় চালু করব" তখন অবশ্যই আমার একটি ত্রুটি হওয়া উচিত নয়?

— Sgtmullet