Maršrutētājs - portu pāradresācija (ipchains)

Portu pāradresācija var būt nepieciešama, kad Jums nepieciešams tikt klāt pie kāda iekšēja servera resursiem no ārpuses cauri maršrutētājam (ugunsmūrim), piem., Jūsu lokālā tīklā ir uzstādīts e-pasta serveris LAN SUITE un Jūs vēlaties pārbaudīt savu e-pastu no ārpuses, izmantojot Interneta pārlūkprogrammu, vai mobilo tālruni ar WAP.

Pieņemsim, ka
10.10.0.15 - maršrutētāja publiskā (ārējā) adrese,
192.168.100.5 - dators pie kura nepieciešams pieslēgties,
443 - ports kura pāradresāciju nodrošināt,

tad /etc/rc.d/rc.local faila beigās, pēc maršrutētāja uzstādīšanas komandām, ierakstiet

/sbin/modprobe ip_masq_mfw

šis modulis kopā ar ipchains nodrošina portu pāradresāciju. Tālāk šim modulim pasakam, ka ar 1 iezīmētās paketes pārsūtīt uz servera 192.168.100.5 portu 443

ipmasqadm mfw -A -m 1 -r 192.168.100.5 443

Tagad pakešu filtram pasakam, ka pieprasījumus uz maršrutētāja portu 443 iezīmēt ar pazīmi 1, un reģistrēt tos savā log failā

ipchains -A input -i eth1 -p tcp -y -s 0/0 -d 10.10.0.15 443 -m 1 -l

Un tas ir viss.
Ja Jūs izmantojat otro variantu no maršrutētāja uzstādīšanas piemēra, tad papildus būs nepieciešams pievienot sekojošu rindu:

ipchains -A forward -j MASQ -i eth1 -p tcp -s 192.168.100.5/32 443 -d 0/0

Jaņem vērā, ka pie šādas konfigurācijas visi, kas pieslēgsies tiks pāradresēti uz iekšējo serveri. Līdz ar to, jāpievērš pastiprināta uzmanība iekšējā servera drošības jautājumiem. Jeb pakešu filtram aiz atslēgas -s norādīt IP adrešu šablonu, uz kurām attiecināt iezīmēšanu. Jebkurā gadījumā, nepieciešams regulāri analizēt pakešu filtra log failus.

Tikpat veiksmīgi varat pievienot vēl arī citu portu pāradresāciju, izmantojot pēdējās divas komandas - palielinot iezīmes numuru un mainot portu.

Lai apskatītu ip_masq_mfw moduļa uzstādījumus izmantojiet komandu

ipmasqadm mfw -L

Lai dzēstu iezīmi 1

ipmasqadm mfw -D -m 1

Neaizmirstat dzēst arī atbilstošo pakešu filtra ierakstu.