मैंने कई ब्लॉगों पर देखा है, इस आदेश का उपयोग करके लिनक्स पर कई नेटवर्क सुरक्षा / सूँघने के औजारों का उपयोग करते हुए आईपी अग्रेषण को सक्षम करने के लिए
echo 1 > /proc/sys/net/ipv4/ip_forward
क्या कोई मुझे सामान्य शब्दों में समझा सकता है कि यह आदेश अनिवार्य रूप से क्या करता है? क्या यह आपके सिस्टम को राउटर में बदल देता है?
जवाबों:
"आईपी अग्रेषण" "रूटिंग" का एक पर्याय है। इसे "कर्नेल आईपी फ़ॉरवर्डिंग" कहा जाता है क्योंकि यह लिनक्स कर्नेल की एक विशेषता है।
एक राउटर में कई नेटवर्क इंटरफेस होते हैं। यदि ट्रैफ़िक एक ऐसे इंटरफ़ेस पर आता है जो किसी अन्य नेटवर्क इंटरफ़ेस के सबनेट से मेल खाता है, तो एक राउटर फिर उस ट्रैफ़िक को दूसरे नेटवर्क इंटरफ़ेस पर भेजता है।
तो, मान लें कि आपके पास दो एनआईसी हैं, एक (एनआईसी 1) पते पर है 192.168.2.1/24, और दूसरा (एनआईसी 2) 192.168.3.1/24 है। यदि अग्रेषण सक्षम किया गया है, और एक पैकेट 192.168.3.8 के "गंतव्य पते" के साथ एनआईसी 1 पर आता है, तो राउटर उस पैकेट को एनआईसी 2 से बाहर कर देगा।
इंटरनेट के गेटवे के रूप में काम करने वाले राउटर्स के लिए यह सामान्य है कि एक डिफ़ॉल्ट मार्ग हो जिससे कोई भी एनआईसी से मेल नहीं खाता ट्रैफ़िक डिफ़ॉल्ट रूट के एनआईसी के माध्यम से जाएगा। इसलिए उपरोक्त उदाहरण में, यदि आपके पास एनआईसी 2 पर इंटरनेट कनेक्शन है, तो आप एनआईसी 2 को अपना डिफ़ॉल्ट मार्ग निर्धारित करेंगे और फिर एनआईसी 1 से आने वाला कोई भी ट्रैफ़िक जो 192.168.2.0/24 पर किसी चीज़ के लिए नियत नहीं है एनआईसी 2 के माध्यम से। उम्मीद है कि एनआईसी 2 के अलावा अन्य राउटर हैं जो इसे आगे बढ़ा सकते हैं (इंटरनेट के मामले में, अगला हॉप आपके आईएसपी का राउटर होगा, और फिर उनके प्रदाता अपस्ट्रीम राउटर, आदि)
सक्षम करना ip_forwardआपके लिनक्स सिस्टम को ऐसा करने के लिए कहता है। इसके सार्थक होने के लिए, आपको दो नेटवर्क इंटरफेस (किसी भी 2 या अधिक वायर्ड एनआईसी कार्ड, वाईफाई कार्ड या चिपसेट, पीपीपी लिंक 56k मॉडेम या सीरियल आदि) की आवश्यकता है।
राउटिंग करते समय, सुरक्षा महत्वपूर्ण है और यही वह जगह है जहाँ लिनक्स का पैकेट फ़िल्टर, iptablesशामिल होता है। तो आपको iptablesअपनी आवश्यकताओं के अनुरूप कॉन्फ़िगरेशन की आवश्यकता होगी।
ध्यान दें कि iptablesअक्षम और / या फ़ायरवॉलिंग और सुरक्षा को ध्यान में रखे बिना, आपको असुरक्षित लोगों के लिए खुला छोड़ सकता है यदि एनआईसी में से कोई एक इंटरनेट या सबनेट का सामना कर रहा है जिसका आपके पास नियंत्रण नहीं है।
iptablesइसे स्थापित करने का तरीका है।
MASQUERADEमें शासन iptablesके POSTROUTINGऐसा करने की एक श्रृंखला पर। Revsys.com/writings/quicktips/nat.html और i.stack.imgur.com/rzz83.png देखें ।
सक्षम होने पर, "आईपी अग्रेषण" एक लिनक्स मशीन को आने वाले पैकेट प्राप्त करने और उन्हें आगे बढ़ाने की अनुमति देता है। एक साधारण मेजबान के रूप में काम करने वाली लिनक्स मशीन को आईपी अग्रेषण सक्षम करने की आवश्यकता नहीं होगी, क्योंकि यह सिर्फ अपने स्वयं के उद्देश्यों (यानी, इसके उपयोगकर्ता के उद्देश्यों) के लिए आईपी ट्रैफ़िक उत्पन्न करता है और प्राप्त करता है।
हालांकि, ऐसे मामले हैं जब आईपी अग्रेषण उपयोगी है: 1. हम चाहते हैं कि हमारी मशीन एक राउटर के रूप में कार्य करें, अन्य मेजबानों से पैकेट प्राप्त करें और उन्हें अपने गंतव्य की ओर मार्ग दें। 2. हम बुरे लोग हैं और हम एक अन्य मशीन को " मैन-इन-द-बीच-हमले " के रूप में लागू करना चाहते हैं। इस मामले में, हम पीड़ित को निर्देशित किए गए सभी ट्रैफ़िक को रोकना और देखना चाहते हैं, लेकिन हम इस ट्रैफ़िक को उसके लिए भी अग्रेषित करना चाहते हैं, ताकि वह हमारी उपस्थिति को "समझ" न ले।