Maskarada na *nixu

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: Mage
Datum: 21.3.2005
Hodnocení/Hlasovalo: 2.25/4

Chcete pripojit celou svoji domaci sit k internetu a nevite jak na to?Tak ctete dal.

Mate dama vice pocitacu a chcete je vsechny pripojit k internetu,ktery mate koupeny treba pres kabelovku?Pak je maskarada pro vas idealnim resenim.V tomto clanku popisi,co je maskarada obecne a jak ji nastavit na unixovych systemech pomoci iptables.

Teorie

Co to vlastne je tam maskarada?Maskarada znamena,ze jeden pocitac(router) maskuje veskery provoz,ktery routuje pres urcite sitove rozhrani,za svuj vlastni.Router si pamatuje,ci pakety prelozil a pri prichodu odpovedi ji opet prelozi zpet.
Pokud se vam to zda prilis slozite,predstavte si paket,ktery vy vyslete z pocitace ve vnitrni siti na router.Paket ma IP adresata nekde v internetu.Router udela to,ze IP odesilatele,coz byl doposud vas pocitac,nahradi svou vlastni a paket posle dal.Zaroven si zapamatuje,ci ze IP to nahradil.Server v internetu,kteremu je paket urceny,ho zpracuje a odpovi formou jineho paketu,ktery je urceny pro router.Jakmile paket dorazi na router,ten zjisti,ze to byl puvodne paket od vaseho PC,nahradi adresu prijemce,coz je v tuto chvili jeho IP,adresou vaseho PC a posle vam jej.Timto zpusobem putuji vsechny pakety vasi komunikace pres maskaradujici router a servery nemaji ani tuseni,ze je nevysila router,ale vy.

Praxe

Budeme konfigurovat maskaradu na pocitaci s Linuxem,ktery ma dve sitove karty(eth0 a eth1).Eth0 je pripojena do switche ve vasi domaci siti,eth1 do kabeloveho modemu.Obe karty byste meli mit nakonfigurovane tak,ze funguji(IP adresa,default gw,DNS),tzn. ze vam na danem pocitaci funguje jak internet,tak i spojeni s ostatnimi pocitaci ve vnitrni siti.
Nyni je treba povolit preposilani packetu(ip forwarding).Docilite toho zapsanim "1" do souboru /proc/sys/net/ipv4/ip_forward.(echo "1" > /proc/sys/net ipv4/ip_forward).
Dale uz staci jen nastavit maskaradu,cehoz docilite prikazem

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Nyni kdyz nastavite na nejakem pocitaci z vnitrni site vnitrni IP routeru jako default gw,meli byste byt schopni se dostat do internetu.(samozrejme je treba jeste nastavit DNS)
Vyse popsane dva prikazy doporucuji dat do startovaciho skriptu site,aby se maskarada nastavila pri startu pocitace.

Zaver

Doufam,ze jsem mnohym lidem pomohl vyresit jejich pripojeni k internetu,protoze uz se me na tuto vec ptalo vice lidi.Pokud stale trvate na Windows,zkuste program WinRoute od Keria.
Pro pripadne dotazy pouzijte prosim komentare.