IP MASKELEME (MASQUERADİNG)

Çoğu kurum sadece bir tane IP adresine sahiptir. Genellikle içerdeki makinelerin sanal IP adresleri vardır. Internet’e çıkışlar gerçek IP adresinin bulunduğu makine üzerinden yapılır. İçerdeki sanal adreslerin bu şekilde internet’e çıkabilmesine IP Maskeleme (Masquerading) denir.

İçerideki makineler ağ geçidi olarak Linux makinenin iç hatta bakan ağ kartının IP adresine ayarlanır. Bu kartın adresi genelde 192.168.1.1 adresine sahiptir. Sanal adrese sahip makineler  Internet’teki bir kaynağa erişmek istediklerinde Linux bu isteği sanki kendisi yapıyormuş gibi kaynaktan alır ve iç hattaki makineye verir.

IP maskelemede ftp bağlantılarının sağlanabilmesi için ip_conntrack ve ip_conntrack_ftp çekirdek modüllerinin yüklenmesi gerekir, bu aşağıdaki komutlar ile gerçekleştirilir :

# modprobe ip_conntrack
# modprobe ip_conntrack_ftp

Eğer çıkış ağ kartı modem ise (ppp0), maskeleme için aşağıdaki komutun işletilmesi yeterlidir :

# iptables –t nat –A POSTROUTING –o ppp0 –j MASQUERADE

Güvenlik duvarı ile birlikte IP Maskelemede yapılacaksa, /etc/sysconfig/iptables dosyasının yapısı aşağıdaki gibi olmalıdır :

*fitler
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT –p icmp –j ACCEPT
-A INPUT –p tcp –m –dport 80 –j ACCEPT
-A INPUT –p tcp –m –dport 25 –j ACCEPT
-A INPUT –p tcp –m –dport 110 –j ACCEPT
-A INPUT –p tcp –m –dport 22 –j ACCEPT
-A INPUT –p tcp –m –dport 443 –j ACCEPT
-A INPUT –i lo –j ACCEPT
-A INPUT –m state –state INVALID, NEW –j DROP
-A FORWARD –m state –state INVALID,NEW –j DROP
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING –o ppp0 –j MASQUERADE
COMMIT

Çıkış ara yüzü bir ağ kartı ise, bu kart ppp0 yerine yazılmalıdır.

Çeşitli Kaynaklardan Derlenerek Yazılmıştır>Alıntıdır