লিনাক্সে অনেকগুলি নেটওয়ার্ক সুরক্ষা / স্নিফিং সরঞ্জাম ব্যবহার করার সময় আইপি ফরোয়ার্ডিং সক্ষম করতে এই কমান্ডটি ব্যবহার করে আমি অনেকগুলি ব্লগে দেখেছি
echo 1 > /proc/sys/net/ipv4/ip_forward
কেউ আমাকে সাধারণ লোকের দিক থেকে ব্যাখ্যা করতে পারেন, এই আদেশটি মূলত কী করে? এটি কি আপনার সিস্টেমকে রাউটারে পরিণত করে?
উত্তর:
"আইপি ফরওয়ার্ডিং" "রাউটিং" এর প্রতিশব্দ। এটি "কর্নেল আইপি ফরোয়ার্ডিং" বলা হয় কারণ এটি লিনাক্স কার্নেলের একটি বৈশিষ্ট্য।
একটি রাউটারে একাধিক নেটওয়ার্ক ইন্টারফেস রয়েছে। যদি ট্র্যাফিক যদি এমন কোনও ইন্টারফেসে আসে যা অন্য নেটওয়ার্ক ইন্টারফেসের একটি সাবনেটের সাথে মেলে তবে একটি রাউটার তারপরে সেই ট্র্যাফিকটিকে অন্য নেটওয়ার্ক ইন্টারফেসে ফরোয়ার্ড করে।
সুতরাং, ধরা যাক আপনার দুটি এনআইসি রয়েছে, একটি (এনআইসি 1) এর ঠিকানা 192.168.2.1/24, এবং অন্যটি (এনআইসি 2) হল 192.168.3.1/24। ফরওয়ার্ডিং সক্ষম করা থাকলে এবং 192.168.3.8 এর একটি "গন্তব্য ঠিকানা" সহ এনআইসি 1 এ একটি প্যাকেট আসে, রাউটারটি NIC 2 এর বাইরে সেই প্যাকেটটি পুনরায় পাঠাবে।
রাউটারগুলির পক্ষে ইন্টারনেটের গেটওয়ে হিসাবে ডিফল্ট রুট হিসাবে কাজ করা সাধারণ বিষয় যার ফলে কোনও এনআইসির সাথে মেলে না এমন ট্রাফিক ডিফল্ট রুটের এনআইসি দিয়ে যায়। সুতরাং উপরের উদাহরণে, যদি আপনার এনআইসি ২ তে ইন্টারনেট সংযোগ থাকে, আপনি এনআইসি 2 কে আপনার ডিফল্ট রুট হিসাবে সেট করতে চান এবং তারপরে এনআইসি 1 থেকে আসা যে কোনও ট্র্যাফিক যা 192.168.2.0/24-এ কোনও কিছুর জন্য নির্ধারিত নয় এনআইসি ২-এর মাধ্যমে আশা করা যায় এনআইসি 2 এর পূর্ববর্তী অন্যান্য রাউটারগুলি এটি আরও রুট করতে পারে (ইন্টারনেটের ক্ষেত্রে, পরবর্তী হপটি হবে আপনার আইএসপির রাউটার এবং তারপরে তাদের সরবরাহকারীগুলি আপস্ট্রিম রাউটার ইত্যাদি))
সক্ষম করা ip_forwardআপনার লিনাক্স সিস্টেমকে এটি করতে বলে। এটি অর্থবহ হওয়ার জন্য আপনার দুটি নেটওয়ার্ক ইন্টারফেসের প্রয়োজন (যে কোনও 2 বা ততোধিক তারযুক্ত এনআইসি কার্ড, ওয়াইফাই কার্ড বা চিপসেট, পিপিপির লিঙ্ক 56k মডেম বা সিরিয়াল ইত্যাদি)।
রাউটিং করার সময়, সুরক্ষা গুরুত্বপূর্ণ এবং সেখানে লিনাক্সের প্যাকেট ফিল্টার, iptablesজড়িত। সুতরাং আপনার প্রয়োজন অনুসারে আপনার একটি iptablesকনফিগারেশন প্রয়োজন।
নোট করুন যে iptablesঅক্ষম এবং / অথবা ফায়ারওয়ালিং এবং সুরক্ষাকে বিবেচনায় না নিয়ে ফরোয়ার্ডিং সক্ষম করা যদি এনআইসির কোনওরকম ইন্টারনেট বা কোনও সাবনেটের মুখোমুখি না হয় তবে আপনি দুর্বলদের জন্য উন্মুক্ত রাখতে পারেন।
iptablesএটি সেট আপ করার উপায়।
MASQUERADEমধ্যে নিয়ম iptablesএর POSTROUTINGযে কাজ করতে একটি চেইন উপর। দেখুন revsys.com/writings/quicktips/nat.html এবং i.stack.imgur.com/rzz83.png ।
সক্ষম করা থাকলে, "আইপি ফরওয়ার্ডিং" একটি লিনাক্স মেশিনকে আগত প্যাকেটগুলি গ্রহণ এবং সেগুলি ফরোয়ার্ড করার অনুমতি দেয়। একটি সাধারণ হোস্ট হিসাবে অভিনয় করা একটি লিনাক্স মেশিনের আইপি ফরওয়ার্ডিং সক্ষম করার প্রয়োজন হবে না, কারণ এটি কেবল নিজস্ব উদ্দেশ্যে (যেমন, তার ব্যবহারকারীর উদ্দেশ্য) জন্য আইপি ট্র্যাফিক তৈরি করে এবং গ্রহণ করে।
যাইহোক, আইপি ফরোয়ার্ডিং কার্যকর হয় এমন ক্ষেত্রে রয়েছে: ১. আমরা চাই আমাদের মেশিনটি রাউটার হিসাবে কাজ করবে, অন্যান্য হোস্টের প্যাকেট গ্রহণ করবে এবং তাদের গন্তব্যের দিকে রউটিং করবে। ২. আমরা খারাপ ছেলেরা এবং আমরা তথাকথিত " ম্যান-ইন-দ্য মিডল-অ্যাটাক " তে অন্য একটি মেশিনের ছদ্মবেশ তৈরি করতে চাই । এই ক্ষেত্রে, আমরা বাধা দিতে এবং শিকারের দিকে পরিচালিত সমস্ত ট্র্যাফিক দেখতে চাই, তবে আমরা এই ট্র্যাফিকটি তার কাছে ফরোয়ার্ডও করতে চাই, যাতে সে আমাদের উপস্থিতি "অনুভূতি" না দেয়।