出于某种原因,我认为这是 Ubuntu 的安全功能。它与安全有什么关系吗?
答案1
IP Masquerade 之所以是一种安全功能,是因为:一般情况下,任何 IP 地址被防火墙或路由器伪装的机器都无法从公共互联网访问。如果您有一个运行 IP Masquerade 的防火墙盒,后面有 15 台客户端 PC,并使用该盒作为通向互联网的路径,那么任何互联网主机都无法直接与这 15 台防火墙盒中的任何一台建立新的 IP 连接。这 15 台客户端 PC 可以创建到互联网的出站连接,但互联网上的任何人都无法直接连接到其中一台 PC。
之所以称为“伪装”,是因为在外界看来,它似乎只有一台计算机,且用户数量较多。也就是说,通过 IP 伪装连接到 Google 的用户在 Google 看来就像是来自伪装箱。
IP Masquerade 本身可以防御多种攻击。但是,它无法防御许多攻击,例如特洛伊木马或本地 LAN 上被黑客入侵的另一台 PC。IP Masquerade 通常可用作大型安全计划的一个组成部分。
答案2
IP Masq 是网络地址转换 (NAT) 的一种形式。NAT 允许您在家中或公司中使用 192.168.0.0/16 地址,同时仅拥有一个或几个实际可路由的 IP 地址。它是 IPv4 互联网现在工作方式的基础。所有消费级家用路由器都支持此功能,并且 Linux 内核已经支持它很长时间了(可能早在 1.3 内核中)
至于其作为安全功能的作用,仍然存在一些争议。PCI-DSS 标准(信用卡行业)要求使用它,因此在这种情况下它被视为安全功能。
答案3
IP 伪装可让您与网络中的许多计算机共享公共 IP 地址。所有路由器通常默认在 WAN 和 LAN 端口之间执行此操作。
在 Linux 中,这是通过 iptables 命令管理的 Netfilter 系统完成的。该系统还管理防火墙过滤规则(例如:阻止传入到端口 80 的流量),这确实与安全更相关。
http://tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html
答案4
IP Masqerade 不适用于电子邮件。除了用于 ISP 的电子邮件中继之外,许多服务器都会拒绝接受您的电子邮件。虽然您可以使用电子邮件客户端连接到 POP 或 IMAP 服务器,但传入电子邮件无法与 IP Masqerage 配合使用。您可以在执行伪装的服务器上运行电子邮件服务器,或使用 DNAT(目标网络地址转换)将每个外部地址转发到单个内部电子邮件服务器。
IP Masquerade 是一种 SNAT(源网络地址转换)形式。它作为一种安全功能,强制执行默认拒绝来自互联网或其他外部网络的策略。IP Masquerade 不向被伪装的服务器提供传入路由。这可以防止使用传入连接的访问向量。任何传入访问都需要通过协议助手配置为 DNAT 规则或例外,以允许完整的 FTP 功能。
IP Masquerade 通常用于启用局域网上的私有 DNS 区域,同时允许访问互联网。这些区域通常位于 192.168.0.0/16 和 10.0.0.0/8 块中,但也包括 172.16.0.0/12 块。IP Masquade 也适用于其他块,但这只应在过渡到私有块时进行。私有范围提供了一定的安全性,因为它们不应在任何边界交换机的外部接口上进行路由。
IP Masquerade 应该与适当的防火墙规则相结合,以限制用于访问互联网的协议。