Molte organizzazioni sono soggette, dai loro ISP, ad un numero limitato di indirizzi IP direzionabili pubblicamente. A causa di questa restrizione, gli amministratori devono trovare un modo diverso per condividere l'accesso ai servizi di Internet, senza conferire indirizzi IP limitati ad ogni nodo presente sulla LAN. Un modo comunemente usato è quello di un indirizzo IP privato, in modo da permettere a tutti i nodi sulla LAN di accedere in modo corretto ai servizi della rete sia interni che esterni. Gli Edge router (come ad esempio i firewall), possono ricevere daInternet le trasmissioni in entrata e direzionare i pacchetti al nodo LAN specifico; allo stesso tempo i firewall/gateway possono direzionare le richieste in uscita da un nodo della LAN al servizio remoto di Internet. Questo inoltro di traffico della rete alle volte può essere pericoloso, soprattutto con la disponibilità di tool moderni, capaci di eseguire delle azioni di spoof nei confronti di indirizzi IP interni, e rendere la macchina di un aggressore remoto, comportarsi come un nodo sulla vostra LAN. Per evitare tutto questo, iptables fornisce delle policy di inoltro e di routing, che possono essere implementate per prevenire un uso improprio delle risorse della rete.
La policy FORWARD permette ad un amministratore di controllare dove vengono diretti i pacchetti all'interno di una LAN. Per esempio, per abilitare l'inoltro per l'intero LAN (assumendo che il firewall/gateway ha un indirizzo IP interno su eth1), possono essere impostate le seguenti regole:
iptables -A FORWARD -i eth1 -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT |
![]() | Nota Bene | |||
---|---|---|---|---|
Per default, la policy IPv4 nei kernel di Red Hat Enterprise Linux, disabilita il supporto per l'inoltro IP, il quale evita che le macchine che eseguono Red Hat Enterprise Linux non si comportino come deirouter. Per abilitare l'inoltro IP, eseguire il seguente comando:
Se questo comando viene eseguito da un prompt della shell l'impostazione non viene mantenuta dopo il riavvio. Potete impostare l'inoltro in modo permanente modificando il file /etc/sysctl.conf. Trovate e modificate la seguente riga, sostituendo 0 con 1:
Eseguite il seguente comando per abilitare il cambiamento sul file sysctl.conf:
|
Questo abilita alla comunicazione tra i nodi LAN; tuttavia essi non sono abilitati a comunicare esternamente (per esempio, con Internet). Per abilitare i nodi LAN con indirizzi IP privati alla comunicazione con le reti pubbliche esterne, configurare il firewall per l'IP masquerading, il quale maschera le richieste dai nodi LAN con l'indirizzo IP dei dispositivi esterni del firewall (in questo caso, eth0):
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE |