it-swarm-vi.com

Chuyển tiếp ip kernel là gì?

Tôi đã thấy trên nhiều blog, sử dụng lệnh này để cho phép chuyển tiếp IP trong khi sử dụng nhiều công cụ đánh hơi/bảo mật mạng trên linux

echo 1 > /proc/sys/net/ipv4/ip_forward

Bất cứ ai có thể giải thích cho tôi trong điều khoản cư sĩ, về cơ bản lệnh này làm gì? Nó có biến hệ thống của bạn thành bộ định tuyến không?

76
Madhur Ahuja

"Chuyển tiếp IP" là một từ đồng nghĩa với "định tuyến." Nó được gọi là "chuyển tiếp IP kernel" vì đây là một tính năng của kernel Linux.

Một bộ định tuyến có nhiều giao diện mạng. Nếu lưu lượng truy cập đến trên một giao diện khớp với mạng con của giao diện mạng khác, thì bộ định tuyến sẽ chuyển tiếp lưu lượng đó đến giao diện mạng khác.

Vì vậy, giả sử bạn có hai NIC, một (NIC 1) ở địa chỉ 192.168.2.1/24 và cái còn lại (NIC 2) là 192.168.3.1/24. Nếu chuyển tiếp được bật và một gói đến trong NIC 1 với "địa chỉ đích" là 192.168.3.8, bộ định tuyến sẽ gửi lại gói đó ra khỏi NIC 2.

Điều phổ biến là các bộ định tuyến hoạt động như các cổng vào Internet để có một tuyến mặc định, theo đó bất kỳ lưu lượng nào không khớp với bất kỳ NIC nào sẽ đi qua NIC của tuyến mặc định. Vì vậy, trong ví dụ trên, nếu bạn có kết nối internet trên NIC 2, bạn sẽ đặt NIC 2 làm tuyến đường mặc định của mình và sau đó bất kỳ lưu lượng truy cập nào đến từ NIC 1 đó là ' T định mệnh cho một cái gì đó vào ngày 192.168.2.0/24 sẽ đi qua NIC 2. Hy vọng rằng có các bộ định tuyến khác đi qua NIC 2 có thể định tuyến thêm (trong trường hợp Internet, bước nhảy tiếp theo sẽ là của bạn Bộ định tuyến của ISP, và sau đó các nhà cung cấp của họ bộ định tuyến ngược, v.v.)

Việc bật ip_forward Cho hệ thống Linux của bạn thực hiện việc này. Để nó có ý nghĩa, bạn cần hai giao diện mạng (bất kỳ 2 hoặc nhiều thẻ NIC có dây, thẻ Wifi hoặc chipset, liên kết PPP qua modem 56k hoặc nối tiếp, v.v.).

Khi thực hiện định tuyến, bảo mật rất quan trọng và đó là nơi bộ lọc gói của Linux, iptables, được tham gia. Vì vậy, bạn sẽ cần một cấu hình iptables phù hợp với nhu cầu của bạn.

Lưu ý rằng việc cho phép chuyển tiếp với iptables bị vô hiệu hóa và/hoặc không đưa tường lửa và bảo mật vào tài khoản có thể khiến bạn mở các lỗ hổng nếu một trong các NIC đối mặt với Internet hoặc mạng con mà bạn không kiểm soát được.

89
LawrenceC

Khi được bật, "chuyển tiếp IP" cho phép máy Linux nhận các gói đến và chuyển tiếp chúng. Một máy Linux hoạt động như một Máy chủ thông thường sẽ không cần phải bật chuyển tiếp IP, bởi vì nó chỉ tạo và nhận lưu lượng IP cho mục đích riêng của nó (tức là, mục đích của người dùng).

Tuy nhiên, có những trường hợp khi chuyển tiếp IP hữu ích: 1. Chúng tôi muốn máy của chúng tôi hoạt động như một bộ định tuyến, nhận các gói từ các máy chủ khác và định tuyến chúng đến đích của chúng. 2. Chúng tôi là những kẻ xấu và chúng tôi muốn mạo danh một cỗ máy khác trong cái gọi là " tấn công trung gian ". Trong trường hợp này, chúng tôi muốn chặn và xem tất cả lưu lượng truy cập hướng đến nạn nhân, nhưng chúng tôi cũng muốn chuyển tiếp lưu lượng này cho cô ấy để cô ấy không "cảm nhận" sự hiện diện của chúng tôi.

4
Andrea Araldo