Ubuntu Server Guide


Download 1.23 Mb.
Pdf ko'rish
bet73/277
Sana18.06.2023
Hajmi1.23 Mb.
#1564055
1   ...   69   70   71   72   73   74   75   76   ...   277
Bog'liq
ubuntu-server-guide (1)

ufw Masquerading
IP Masquerading can be achieved using custom ufw rules. This is possible because the current back-end for
ufw is iptables-restore with the rules files located in /etc/ufw/*.rules. These files are a great place to add
legacy iptables rules used without ufw, and rules that are more network gateway or bridge related.
The rules are split into two different files, rules that should be executed before ufw command line rules, and
rules that are executed after ufw command line rules.
88


• First, packet forwarding needs to be enabled in ufw. Two configuration files will need to be adjusted,
in /etc/default/ufw change the DEFAULT_FORWARD_POLICY to “ACCEPT”:
DEFAULT_FORWARD_POLICY=”ACCEPT”
Then edit /etc/ufw/sysctl.conf and uncomment:
n e t / i p v 4 / ip_forward=1
Similarly, for IPv6 forwarding uncomment:
n e t / i p v 6 / c o n f / d e f a u l t / f o r w a r d i n g=1
• Now add rules to the /etc/ufw/before.rules file. The default rules only configure the filter table, and
to enable masquerading the nat table will need to be configured. Add the following to the top of the
file just after the header comments:
# nat Table r u l e s
* nat
:POSTROUTING ACCEPT [ 0 : 0 ]
# Forward t r a f f i c from e t h 1 through e t h 0 .
−A POSTROUTING −s 1 9 2 . 1 6 8 . 0 . 0 / 2 4 −o e t h 0 −j MASQUERADE
# don ’ t d e l e t e t h e ’COMMIT’ l i n e o r t h e s e nat t a b l e r u l e s won ’ t be
p r o c e s s e d
COMMIT
The comments are not strictly necessary, but it is considered good practice to document your configu-
ration. Also, when modifying any of the rules files in /etc/ufw, make sure these lines are the last line
for each table modified:
# don ’ t d e l e t e t h e ’COMMIT’ l i n e o r t h e s e r u l e s won ’ t be p r o c e s s e d
COMMIT
For each Table a corresponding COMMIT statement is required. In these examples only the nat and
filter tables are shown, but you can also add rules for the raw and mangle tables.
Note
In the above example replace eth0eth1, and 192.168.0.0/24 with the appropriate interfaces
and IP range for your network.
• Finally, disable and re-enable ufw to apply the changes:
sudo ufw d i s a b l e && sudo ufw e n a b l e
IP Masquerading should now be enabled. You can also add any additional FORWARD rules to the /etc/
ufw/before.rules. It is recommended that these additional rules be added to the ufw-before-forward chain.

Download 1.23 Mb.

Do'stlaringiz bilan baham:
1   ...   69   70   71   72   73   74   75   76   ...   277




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling