Documentazione<Precedenti | Contenuti | Succ.>
3.3.1. ufw Masquerade
Il mascheramento IP può essere ottenuto utilizzando regole ufw personalizzate. Questo è possibile perché l'attuale back-end per ufw è iptables-restore con i file delle regole che si trovano in /etc/ufw/*.regole. Questi file sono un ottimo posto per aggiungere regole iptables legacy utilizzate senza ufw e regole che sono più correlate al gateway di rete o al bridge.
Le regole sono suddivise in due file diversi, regole che devono essere eseguite prima delle regole della riga di comando ufw e regole che vengono eseguite dopo le regole della riga di comando ufw.
• Innanzitutto, l'inoltro dei pacchetti deve essere abilitato in ufw. Sarà necessario regolare due file di configurazione, in /etc/default/ufw cambiare il DEFAULT_FORWARD_POLICY accettare":
DEFAULT_FORWARD_POLICY="ACCETTO"
Quindi modifica /etc/ufw/sysctl.conf e decommenta:
net/ipv4/ip_forward=1
Allo stesso modo, per l'inoltro IPv6 rimuovere il commento:
net/ipv6/conf/default/inoltro=1
• Ora aggiungi regole al /etc/ufw/before.rules file. Le regole predefinite configurano solo il filtro tabella e per consentire il mascheramento del nat tabella dovrà essere configurata. Aggiungi quanto segue all'inizio del file subito dopo i commenti dell'intestazione:
# nat Regole della tabella
*naz
:POSTROUTING ACCETTA [0:0]
# Inoltra il traffico da eth1 a eth0.
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASCHERA
# non eliminare la riga "COMMIT" o queste regole della tabella nat non verranno elaborate COMMIT
I commenti non sono strettamente necessari, ma è considerata buona pratica documentare la propria configurazione. Inoltre, quando si modifica uno qualsiasi dei norme file in /ecc/ufw, assicurati che queste righe siano l'ultima riga per ogni tabella modificata:
# non eliminare la riga 'COMMIT' o queste regole non verranno elaborate COMMIT
Per ciascun Table un corrispondente COMMETTERE è richiesta la dichiarazione. In questi esempi solo il nat e filtro
vengono mostrate le tabelle, ma puoi anche aggiungere regole per il crudo e mancante tavoli.
Nell'esempio sopra sostituire eth0, eth1e 192.168.0.0/24 con le interfacce e l'intervallo IP appropriati per la rete.
• Infine, disabilita e riattiva ufw per applicare le modifiche:
sudo ufw disabilita && sudo ufw abilitato
Il Masquerading IP dovrebbe ora essere abilitato. Puoi anche aggiungere eventuali regole FORWARD aggiuntive al /etc/ufw/ prima.rules. Si raccomanda di aggiungere queste regole aggiuntive al ufw-prima-avanti catena.