Pesquisa de site

Usando Masquerading com Iptables para Network Address Translation (NAT)


Network Address Translation (NAT) é uma técnica que permite que vários dispositivos compartilhem um único endereço IP público. O NAT é comumente usado em redes domésticas e de escritório para permitir que os dispositivos em uma rede privada acessem a Internet por meio de um único endereço IP público.

Mascarar, por outro lado, como o nome sugere, esconde sua identidade por trás de uma máscara ou outra identidade presumida. Da mesma forma, no mundo das redes de computadores, um tipo de tradução de endereço de rede é chamado de mascaramento, usado para ocultar a identidade dos dispositivos na rede privada, substituindo seus endereços IP pelo endereço IP do roteador ou dispositivo de gateway.

Quando um dispositivo em uma rede privada deseja se comunicar com um dispositivo na Internet, ele envia um pacote para o dispositivo de gateway na rede privada, que encaminha o pacote para a Internet. No entanto, o endereço IP de origem do pacote é o endereço IP privado do dispositivo que não é válido na Internet. Para resolver esse problema, o dispositivo de gateway substitui o endereço IP de origem do pacote por seu próprio endereço IP público para que o dispositivo na Internet veja o pacote como proveniente do dispositivo de gateway, e não do dispositivo privado.

Implementando Mascaramento com Iptables

Para implementar o mascaramento com iptables, precisamos adicionar uma regra a uma das cadeias de roteamento da tabela NAT. A cadeia de pós-roteamento é usada para modificar os pacotes que estão saindo do sistema, após terem sido roteados.

Etapa 1: Adicionando uma Regra de Mascaramento à Cadeia POSTROUTING

Execute o seguinte comando no terminal do Linux:

$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Este comando adiciona uma regra à cadeia POSTROUTING da tabela NAT que corresponde a todos os pacotes de saída que estão passando pela interface eth0 e substitui seu endereço IP de origem pelo endereço IP da interface eth0.

    • A opção -t é usada para especificar a tabela com a qual queremos trabalhar, que neste caso é a tabela NAT.

    • A opção -A é usada para adicionar uma nova regra à cadeia.

    • A opção -o é usada para especificar a interface de saída pela qual os pacotes estão passando.

    • A opção -j é usada para especificar o destino da regra que, neste caso, é MASQUERADE, o que significa que o endereço IP de origem do pacote deve ser mascarado.

Depois que essa regra é adicionada, qualquer pacote de saída que está passando pela interface eth0 tem seu endereço IP de origem mascarado com o endereço IP da interface eth0.

Etapa 2: especificando um endereço IP para mascarar

Por padrão, a regra de mascaramento se aplica a todos os pacotes de saída em todas as interfaces. No entanto, é possível especificar uma interface específica para mascarar usando a opção -s seguida do endereço IP da interface.

Execute o seguinte comando:

$iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

Nota: Isso aplica a regra de mascaramento apenas a pacotes que saem pela interface eth1.

Etapa 3: especificando o endereço IP de origem para mascarar

A regra de mascaramento substitui o endereço IP de origem de todos os pacotes de saída pelo endereço IP da interface de saída por padrão.

Execute o seguinte comando para especificar um endereço IP de origem diferente a ser usado usando a opção –to-source seguida do endereço IP:

$iptables -t nat -A POSTROUTING -o eth0 --to-source 203.0.113.1 -j MASQUERADE

Nota: Este comando mascara todos os pacotes de saída com o endereço IP 203.0.113.1.

Etapa 4: especificando um intervalo de endereço de destino para excluir do mascaramento

Às vezes, pode ser necessário excluir um intervalo de endereços IP de destino da regra de mascaramento.

Isso pode ser feito adicionando uma regra à cadeia PREROUTING que corresponda aos pacotes com os endereços de destino excluídos e defina uma marca especial neles. Uma regra de mascaramento na cadeia POSTROUTING pode ser configurada para pular os pacotes com essa marca.

Execute o seguinte comando para excluir o intervalo de endereços IP 203.0.113.0/24 do mascaramento:

$iptables -t mangle -A PREROUTING -d 203.0.113.0/24 -j MARK --set-mark 1
$iptables -t nat -A POSTROUTING -o eth0 -m mark ! --mark 1 -j MASQUERADE

Estes são apenas alguns exemplos das muitas opções que podem ser usadas para personalizar o comportamento de mascaramento com iptables. Com a flexibilidade fornecida pelo iptables, é possível implementar configurações de rede complexas e políticas de segurança em um sistema Linux.

Conclusão

Neste artigo, exploramos o que é mascaramento e como implementá-lo com o iptables. O mascaramento é uma técnica útil para ocultar a identidade de dispositivos em uma rede privada, e o iptables fornece uma maneira simples e flexível de implementá-lo em um sistema Linux. Ao adicionar uma regra de mascaramento à cadeia POSTROUTING da tabela NAT, podemos garantir que todos os pacotes de saída dos dispositivos na rede privada tenham seu endereço IP de origem mascarado com o endereço IP do dispositivo de gateway para que possam se comunicar com os dispositivos na internet sem revelar sua verdadeira identidade.

Artigos relacionados: