7.4. FORWARD und NAT Regeln

Den meisten Organisationen wird eine limitierte Anzahl von öffentlich routbaren IP-Adressen von ihrem ISP zugewiesen. Aufgrund dieser Einschränkungen müssen die Administratoren kreative Wege finden, den Zugang zum Internet aufzuteilen, ohne dass jedem Knoten am LAN kostbare IP-Adressen zugeteilt werden. Der normale Weg, damit alle Knoten auf einem LAN die Netzwerkdienste intern und extern nützen können, ist die Verwendung von privaten IP-Adressen. Edge Routers (wie Firewalls) können eingehende Übertragungen vom Internet empfangen und die Pakete zu den gewünschten LAN-Knoten leiten. Gleichzeitig können Firewalls/Gateways auch ausgehende Anfragen von einem LAN-Knoten zu dem entfernten Internetdienst leiten. Dieses Weiterleiten des Netzwerkverkehrs kann manchmal gefährlich werden, vor allem, wenn moderne Cracking Tools verwendet werden, die interne IP-Adressen austricksen können und den Computer des externen Angreifers wie einen Netzwerkknoten des LAN erscheinen lassen. Zur Vorbeugung bietet iptables Richtlinien zum Routing und Weiterleiten, die eingesetzt werden können, um fälschlicher Verwendung von Netzwerk-Ressourcen vorzubeugen.

Die FORWARD Richtlinie erlaubt einem Administrator zu kontrollieren, wohin die Pakete innerhalb eines LAN geroutet werden können. Wenn z.B. ein Weiterleiten an den gesamten LAN erlaubt werden soll (angenommen, die Firewall/Gateway hat eine interne IP-Adresse auf eth1), können die folgenden Regeln eingestellt werden.

iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

AnmerkungAnmerkung
 

Die IPv4 Richtlinie in Red Hat Enterprise Linux Kernels verhindert standardmäßig die Unterstützung von IP-Weiterleitung, was verhindert, dass Boxen, die Red Hat Enterprise Linux ausführen, als zugeordnete Edge Router fungieren. Führen Sie den folgenden Befehl aus, um IP-Weiterleitung einzuschalten:

sysctl -w net.ipv4.ip_forward=1

Wenn dieser Befehl über einen Shell-Prompt ausgeführt wird, wird die Einstellung nach einem Neustart nicht behalten. Sie können permanentes Weiterleiten einstellen, indem Sie die /etc/sysctl.conf Datei bearbeiten. Suchen Sie die folgende Zeile und ersetzen Sie 0 mit 1:

net.ipv4.ip_forward = 0

Führen Sie den folgenden Befehl aus, um die Änderung der sysctl.conf Datei zu ermöglichen:

sysctl -p /etc/sysctl.conf

Dies erlaubt LAN-Netzwerkknoten, miteinander zu kommunizieren. Es ist ihnen jedoch nicht gestattet, extern (zum Beispiel mit dem Internet) zu kommunizieren. Um LAN-Netzwerkknoten mit privaten IP-Adressen das Kommunizieren mit externen öffentlichen Netzwerken zu ermöglichen, konfigurieren Sie die Firewall für IP masquerading. Dies maskiert Anfragen der LAN-Netzwerkknoten mit der IP-Adresse der äußeren Einstellung der Firewall (in diesem Fall eth0):

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE