Dokumentation3.3.1. ufw Maskierung
IP-Masquerading kann mithilfe benutzerdefinierter UFW-Regeln erreicht werden. Dies ist möglich, weil das aktuelle Back-End für ufw iptables-restore ist und sich die Regeldateien in befinden /etc/ufw/*.rules. Diese Dateien sind ein großartiger Ort, um ältere Iptables-Regeln hinzuzufügen, die ohne UFW verwendet werden, sowie Regeln, die eher mit Netzwerk-Gateways oder Bridges zusammenhängen.
Die Regeln sind in zwei verschiedene Dateien aufgeteilt: Regeln, die vor den ufw-Befehlszeilenregeln ausgeführt werden sollten, und Regeln, die nach den ufw-Befehlszeilenregeln ausgeführt werden sollten.
• Zunächst muss die Paketweiterleitung in ufw aktiviert werden. Es müssen zwei Konfigurationsdateien angepasst werden /etc/default/ufw ändern die DEFAULT_FORWARD_POLICY akzeptieren":
DEFAULT_FORWARD_POLICY="AKZEPTIEREN"
Dann bearbeiten /etc/ufw/sysctl.conf und auskommentieren:
net/ipv4/ip_forward=1
Ebenso gilt für die IPv6-Weiterleitung das Auskommentieren:
net/ipv6/conf/default/forwarding=1
• Fügen Sie nun Regeln hinzu /etc/ufw/before.rules Datei. Die Standardregeln konfigurieren nur die Filter Tabelle, und um die Maskierung zu ermöglichen nat Die Tabelle muss konfiguriert werden. Fügen Sie am Anfang der Datei direkt nach den Kopfzeilenkommentaren Folgendes hinzu:
# nat Tabellenregeln
*nat
:POSTROUTING AKZEPTIEREN [0:0]
# Leiten Sie den Datenverkehr von eth1 bis eth0 weiter.
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASKERADE
# Löschen Sie nicht die Zeile „COMMIT“, sonst werden diese NAT-Tabellenregeln nicht verarbeitet. COMMIT
Die Kommentare sind nicht unbedingt erforderlich, es wird jedoch als bewährte Vorgehensweise angesehen, Ihre Konfiguration zu dokumentieren. Auch beim Ändern eines der Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben. Dateien in /etc/ufwStellen Sie sicher, dass diese Zeilen die letzte Zeile für jede geänderte Tabelle sind:
# Löschen Sie nicht die Zeile „COMMIT“, sonst werden diese Regeln nicht verarbeitet. COMMIT
Für jeden Tisch ein entsprechendes VERPFLICHTEN Erklärung ist erforderlich. In diesen Beispielen nur die nat und Filter
Tabellen werden angezeigt, Sie können aber auch Regeln für die hinzufügen roh und fehlt Tabellen.
Im obigen Beispiel ersetzen eth0, eth1 und 192.168.0.0/24 mit den passenden Schnittstellen und IP-Bereichen für Ihr Netzwerk.
• Deaktivieren Sie abschließend ufw und aktivieren Sie es erneut, um die Änderungen zu übernehmen:
sudo ufw deaktivieren && sudo ufw aktivieren
IP-Masquerading sollte jetzt aktiviert sein. Sie können dem auch beliebige zusätzliche FORWARD-Regeln hinzufügen /etc/ufw/ before.rules. Es wird empfohlen, diese zusätzlichen Regeln zum hinzuzufügen ufw-vorher-vorwärts Kette.