GNU/Linux >> Znalost Linux >  >> Linux

Linux – Kernel IP Forwarding?

Na mnoha blozích jsem viděl používání tohoto příkazu k povolení předávání IP při používání mnoha nástrojů pro zabezpečení sítě/sniffování na linuxu

echo 1 > /proc/sys/net/ipv4/ip_forward

Může mi někdo laicky vysvětlit, co tento příkaz v podstatě dělá? Promění váš systém ve směrovač?

Přijatá odpověď:

„Přesměrování IP“ je synonymem pro „směrování“. Říká se tomu „předávání IP adresy jádra“, protože je to vlastnost linuxového jádra.

Router má několik síťových rozhraní. Pokud provoz přichází na jedno rozhraní, které odpovídá podsíti jiného síťového rozhraní, směrovač pak tento provoz předá druhému síťovému rozhraní.

Řekněme tedy, že máte dvě síťové karty, jedna (NIC 1) je na adrese 192.168.2.1/24 a druhá (NIC 2) je 192.168.3.1/24. Pokud je povoleno předávání a na NIC 1 přijde paket s „cílovou adresou“ 192.168.3.8, router znovu odešle paket z NIC 2.

Je běžné, že směrovače fungující jako brány k internetu mají výchozí trasu, kdy veškerý provoz, který neodpovídá žádné síťové kartě, bude procházet síťovou kartou výchozí trasy. Takže ve výše uvedeném příkladu, pokud máte internetové připojení na NIC 2, nastavili byste NIC 2 jako svou výchozí trasu a pak veškerý provoz přicházející z NIC 1, který není určen pro něco na 192.168.2.0/24, půjde přes NIC 2. Doufejme, že za NIC 2 existují další směrovače, které ji dokážou dále směrovat (v případě internetu by dalším skokem byl směrovač vašeho ISP a poté směrovač jejich poskytovatelů proti proudu atd.)

Povolení ip_forward říká vašemu systému Linux, aby to udělal. Aby to mělo smysl, potřebujete dvě síťová rozhraní (jakékoli 2 nebo více kabelových NIC karet, Wifi karet nebo čipových sad, PPP propojení přes 56k modem nebo sériový atd.).

Při směrování je důležité zabezpečení a to je místo, kde linuxový paketový filtr, iptables , zapojí se. Budete tedy potřebovat iptables konfigurace v souladu s vašimi potřebami.

Upozorňujeme, že povolení přeposílání pomocí iptables zakázaná a/nebo bez zohlednění brány firewall a zabezpečení by vás mohla vystavit zranitelnosti, pokud je jedna z NIC připojena k internetu nebo podsíti, nad kterou nemáte kontrolu.


Linux

  1. Jak upgradovat jádro na ploše Linuxu

  2. Linux – Kernel:Podpora jmenných prostorů?

  3. Linux – Jsou různá jádra Linux/unix zaměnitelná?

  1. Životní cyklus testování linuxového jádra

  2. Nainstalujte Linux Kernel 4.12 v openSUSE

  3. Jak povolit předávání IP v systému Linux

  1. Příkaz Dmesg v Linuxu

  2. Linux – poskvrněné jádro v Linuxu?

  3. Co je předávání IP adresy jádra?