it-swarm-ru.tech

Что такое пересылка IP ядра?

Я видел во многих блогах, используя эту команду для включения переадресации IP при использовании многих инструментов сетевой безопасности/сниффинга в Linux

echo 1 > /proc/sys/net/ipv4/ip_forward

Может кто-нибудь объяснить мне в терминах непрофессионала, что по существу делает эта команда? Это превращает вашу систему в роутер?

76
Madhur Ahuja

"IP forwarding" является синонимом "маршрутизации". Это называется "переадресация IP-адреса ядра", потому что это особенность ядра Linux.

Маршрутизатор имеет несколько сетевых интерфейсов. Если трафик поступает на один интерфейс, который соответствует подсети другого сетевого интерфейса, маршрутизатор затем перенаправляет этот трафик на другой сетевой интерфейс.

Итак, предположим, у вас есть две NIC, одна (NIC 1) находится по адресу 192.168.2.1/24, а другая (NIC 2) - 192.168.3.1/24. Если переадресация включена, и на NIC 1 поступает пакет с "адресом назначения" 192.168.3.8, маршрутизатор повторно отправит этот пакет из NIC 2.

Маршрутизаторы, работающие в качестве шлюзов в Интернет, обычно используют маршрут по умолчанию, при котором любой трафик, который не соответствует ни одной сетевой карте, будет проходить через сетевой адаптер по умолчанию. Таким образом, в приведенном выше примере, если у вас есть подключение к Интернету на NIC 2, вы установите NIC 2 в качестве маршрута по умолчанию, а затем любой трафик, поступающий из NIC 1, который не является ' t, предназначенный для чего-то 192.168.2.0/24, будет проходить через NIC 2. Надеемся, что есть другие маршрутизаторы за NIC 2, которые могут направить его дальше (в случае Интернета следующим переходом будет ваш Маршрутизатор провайдера, а затем их провайдеры, восходящий маршрутизатор и т.д.

Включение ip_forward Говорит вашей системе Linux сделать это. Чтобы это было значимым, вам нужно два сетевых интерфейса (любые 2 или более проводных карт NIC, карты Wi-Fi или наборы микросхем, PPP ссылки через модем 56k или последовательный порт и т.д.).

При маршрутизации важна безопасность, и именно здесь задействуется пакетный фильтр Linux iptables. Поэтому вам потребуется конфигурация iptables, соответствующая вашим потребностям.

Обратите внимание, что включение переадресации с отключенным iptables и ​​/ или без учета брандмауэра и безопасности может сделать вас уязвимым, если один из сетевых адаптеров обращен к Интернету или подсети, которую вы не можете контролировать.

89
LawrenceC

Когда эта опция включена, "IP forwarding" позволяет машине Linux получать входящие пакеты и пересылать их. Машина Linux, выступающая в качестве обычного хоста, не должна была бы включать IP-пересылку, потому что она просто генерирует и получает IP-трафик для своих собственных целей (то есть для целей своего пользователя).

Однако существуют случаи, когда переадресация IP полезна: 1. Мы хотим, чтобы наша машина действовала как маршрутизатор, получая пакеты от других хостов и направляя их к месту назначения. 2. Мы плохие парни, и мы хотим выдать себя за другую машину в так называемой " атака по центру ". В этом случае мы хотим перехватить и увидеть весь трафик, направленный к жертве, но мы также хотим перенаправить этот трафик ей, чтобы она не "чувствовала" наше присутствие.

4
Andrea Araldo