ドキュメント3.3.1. ufwマスカレード
IP マスカレードは、カスタム ufw ルールを使用して実現できます。 これが可能になるのは、ufw の現在のバックエンドが iptables-restore であり、ルール ファイルが次の場所にあるためです。 /etc/ufw/*.rules。 これらのファイルは、ufw なしで使用されるレガシー iptables ルールや、ネットワーク ゲートウェイまたはブリッジ関連のルールを追加するのに最適な場所です。
ルールは、ufw コマンド ライン ルールの前に実行されるルールと、ufw コマンド ライン ルールの後に実行されるルールの XNUMX つの異なるファイルに分割されます。
• まず、ufw でパケット転送を有効にする必要があります。 XNUMX つの構成ファイルを調整する必要があります。 /etc/デフォルト/ufw 変更 DEFAULT_FORWARD_POLICY 受け入れるために":
DEFAULT_FORWARD_POLICY="同意する"
次に編集します /etc/ufw/sysctl.conf そしてコメントを外します:
net/ipv4/ip_forward=1
同様に、IPv6 転送の場合はコメントを解除します。
net/ipv6/conf/default/forwarding=1
• ここでルールを追加します。 /etc/ufw/before.rules ファイル。 デフォルトのルールは、 filter テーブルをマスカレードできるようにするには、 NAT テーブルを構成する必要があります。 ファイルの先頭のヘッダー コメントの直後に次の行を追加します。
# nat テーブルのルール
*ナット
:ポストアウト受け入れ [0:0]
# eth1 から eth0 にトラフィックを転送します。
-A ポストルーティング -s 192.168.0.0/24 -o eth0 -j マスカレード
# 「COMMIT」行を削除しないでください。そうしないと、これらの nat テーブル ルールが処理されません。 COMMIT
コメントは厳密には必須ではありませんが、構成を文書化することをお勧めします。 また、いずれかを変更する場合、 ルール ファイル内の /etc/ufw、これらの行が、変更された各テーブルの最後の行であることを確認してください。
# 「COMMIT」行を削除しないでください。削除すると、これらのルールは処理されません COMMIT
それぞれについて、 表 対応する コミット というステートメントが必要です。 これらの例では、 NAT filter
テーブルが表示されていますが、ルールを追加することもできます。 生 マングル テーブル。
上の例では置き換えます eth0, eth1, 192.168.0.0/24 ネットワークに適切なインターフェイスと IP 範囲を使用します。
• 最後に、ufw を無効にしてから再度有効にして、変更を適用します。
sudo ufw を無効にする && sudo ufw を有効にする
これで IP マスカレードが有効になったはずです。 追加の FORWARD ルールを /etc/ufw/ before.rules。 これらの追加ルールを ufw-before-forward チェーン。