কার্নেল আইপি ফরওয়ার্ডিং কী?


70

লিনাক্সে অনেকগুলি নেটওয়ার্ক সুরক্ষা / স্নিফিং সরঞ্জাম ব্যবহার করার সময় আইপি ফরোয়ার্ডিং সক্ষম করতে এই কমান্ডটি ব্যবহার করে আমি অনেকগুলি ব্লগে দেখেছি

echo 1 > /proc/sys/net/ipv4/ip_forward

কেউ আমাকে সাধারণ লোকের দিক থেকে ব্যাখ্যা করতে পারেন, এই আদেশটি মূলত কী করে? এটি কি আপনার সিস্টেমকে রাউটারে পরিণত করে?


1
পোর্টফোরওয়ার্ডিং সক্ষম এবং অক্ষম করতে পাইথন ফাইলটি gist.github.com/addminuse/7747903cd420b15f17e0

উত্তর:


77

"আইপি ফরওয়ার্ডিং" "রাউটিং" এর প্রতিশব্দ। এটি "কর্নেল আইপি ফরোয়ার্ডিং" বলা হয় কারণ এটি লিনাক্স কার্নেলের একটি বৈশিষ্ট্য।

একটি রাউটারে একাধিক নেটওয়ার্ক ইন্টারফেস রয়েছে। যদি ট্র্যাফিক যদি এমন কোনও ইন্টারফেসে আসে যা অন্য নেটওয়ার্ক ইন্টারফেসের একটি সাবনেটের সাথে মেলে তবে একটি রাউটার তারপরে সেই ট্র্যাফিকটিকে অন্য নেটওয়ার্ক ইন্টারফেসে ফরোয়ার্ড করে।

সুতরাং, ধরা যাক আপনার দুটি এনআইসি রয়েছে, একটি (এনআইসি 1) এর ঠিকানা 192.168.2.1/24, এবং অন্যটি (এনআইসি 2) হল 192.168.3.1/24। ফরওয়ার্ডিং সক্ষম করা থাকলে এবং 192.168.3.8 এর একটি "গন্তব্য ঠিকানা" সহ এনআইসি 1 এ একটি প্যাকেট আসে, রাউটারটি NIC 2 এর বাইরে সেই প্যাকেটটি পুনরায় পাঠাবে।

রাউটারগুলির পক্ষে ইন্টারনেটের গেটওয়ে হিসাবে ডিফল্ট রুট হিসাবে কাজ করা সাধারণ বিষয় যার ফলে কোনও এনআইসির সাথে মেলে না এমন ট্রাফিক ডিফল্ট রুটের এনআইসি দিয়ে যায়। সুতরাং উপরের উদাহরণে, যদি আপনার এনআইসি ২ তে ইন্টারনেট সংযোগ থাকে, আপনি এনআইসি 2 কে আপনার ডিফল্ট রুট হিসাবে সেট করতে চান এবং তারপরে এনআইসি 1 থেকে আসা যে কোনও ট্র্যাফিক যা 192.168.2.0/24-এ কোনও কিছুর জন্য নির্ধারিত নয় এনআইসি ২-এর মাধ্যমে আশা করা যায় এনআইসি 2 এর পূর্ববর্তী অন্যান্য রাউটারগুলি এটি আরও রুট করতে পারে (ইন্টারনেটের ক্ষেত্রে, পরবর্তী হপটি হবে আপনার আইএসপির রাউটার এবং তারপরে তাদের সরবরাহকারীগুলি আপস্ট্রিম রাউটার ইত্যাদি))

সক্ষম করা ip_forwardআপনার লিনাক্স সিস্টেমকে এটি করতে বলে। এটি অর্থবহ হওয়ার জন্য আপনার দুটি নেটওয়ার্ক ইন্টারফেসের প্রয়োজন (যে কোনও 2 বা ততোধিক তারযুক্ত এনআইসি কার্ড, ওয়াইফাই কার্ড বা চিপসেট, পিপিপির লিঙ্ক 56k মডেম বা সিরিয়াল ইত্যাদি)।

রাউটিং করার সময়, সুরক্ষা গুরুত্বপূর্ণ এবং সেখানে লিনাক্সের প্যাকেট ফিল্টার, iptablesজড়িত। সুতরাং আপনার প্রয়োজন অনুসারে আপনার একটি iptablesকনফিগারেশন প্রয়োজন।

নোট করুন যে iptablesঅক্ষম এবং / অথবা ফায়ারওয়ালিং এবং সুরক্ষাকে বিবেচনায় না নিয়ে ফরোয়ার্ডিং সক্ষম করা যদি এনআইসির কোনওরকম ইন্টারনেট বা কোনও সাবনেটের মুখোমুখি না হয় তবে আপনি দুর্বলদের জন্য উন্মুক্ত রাখতে পারেন।


2
ঠিক আছে, এনআইসি 2 একটি ব্যক্তিগত আইপি হলে আপনি NAT করতে চাইবেন want লিনাক্স NATও করতে পারে এবং iptablesএটি সেট আপ করার উপায়।
LawrenceC

NIC 2 থেকে NIC 1 এ যাওয়ার ডেটার জন্য এটির কি NAT দরকার?
গুটেনই

2
সাধারণত নাট ল্যান থেকে ডাব্লু ডাব্লু পর্যন্ত কাজ করবে, সুতরাং যদি এনআইসি 2 এর একটি প্রাইভেট আইপি থাকে, এবং এনআইসির 1 এর পাবলিক 1 থাকে, আপনার NAT এর দরকার নেই; বিশেষভাবে, ইন্টারনেট ফেসিং ইন্টারফেস (উপরে প্রতি এনআইসি 1) দরকার MASQUERADEমধ্যে নিয়ম iptablesএর POSTROUTINGযে কাজ করতে একটি চেইন উপর। দেখুন revsys.com/writings/quicktips/nat.html এবং i.stack.imgur.com/rzz83.png
লরেন্স

সহজ কথায়, যদি আমি বলি যে আইপি ফরোয়ার্ডিং সক্ষম করার অর্থ মেশিনটিকে তার এনআইসির একটি থেকে অন্য একটি এনআইসিতে একটি প্যাকেট পাস করার পক্ষে সক্ষম করা হবে? এছাড়াও, যদি আমি বলি যে সত্যই আইপি ফরওয়ার্ডিং সক্ষম করা কোনও একক আইপি / এনআইসিসহ কোনও মেশিনে প্রয়োজন হয় না?
শ্রী

1
@ultrasawblade আইপি ফরওয়ার্ডিং সক্রিয় করার ক্ষেত্রে এবং NIC 2 তে ইন্টারনেট সংযোগ থাকার ক্ষেত্রে এবং ডিফল্ট রুট হিসাবে, যদি এটি এনআইসি 1 থেকে 192.168.2.2 এর জন্য প্যাকেট প্রাপ্ত হয় তবে রাউটার কী করবে?
বোবো

3

সক্ষম করা থাকলে, "আইপি ফরওয়ার্ডিং" একটি লিনাক্স মেশিনকে আগত প্যাকেটগুলি গ্রহণ এবং সেগুলি ফরোয়ার্ড করার অনুমতি দেয়। একটি সাধারণ হোস্ট হিসাবে অভিনয় করা একটি লিনাক্স মেশিনের আইপি ফরওয়ার্ডিং সক্ষম করার প্রয়োজন হবে না, কারণ এটি কেবল নিজস্ব উদ্দেশ্যে (যেমন, তার ব্যবহারকারীর উদ্দেশ্য) জন্য আইপি ট্র্যাফিক তৈরি করে এবং গ্রহণ করে।

যাইহোক, আইপি ফরোয়ার্ডিং কার্যকর হয় এমন ক্ষেত্রে রয়েছে: ১. আমরা চাই আমাদের মেশিনটি রাউটার হিসাবে কাজ করবে, অন্যান্য হোস্টের প্যাকেট গ্রহণ করবে এবং তাদের গন্তব্যের দিকে রউটিং করবে। ২. আমরা খারাপ ছেলেরা এবং আমরা তথাকথিত " ম্যান-ইন-দ্য মিডল-অ্যাটাক " তে অন্য একটি মেশিনের ছদ্মবেশ তৈরি করতে চাই । এই ক্ষেত্রে, আমরা বাধা দিতে এবং শিকারের দিকে পরিচালিত সমস্ত ট্র্যাফিক দেখতে চাই, তবে আমরা এই ট্র্যাফিকটি তার কাছে ফরোয়ার্ডও করতে চাই, যাতে সে আমাদের উপস্থিতি "অনুভূতি" না দেয়।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.