На этой странице можно настроить правила маскировки (маскарадинга), т.е. трансляцию сетевых адресов, при которой в пакетах, проходящих через интерфейс, адрес отправителя подставляется динамически, в зависимости от назначенного интерфейсу адреса.
Управление маскировкой
| • | Перейдите по ссылке Firewall в разделе Безопасность главного меню, |
| • | Нажмите ссылку Маскировка (masq). |
Вид страницы правил маскировки приведен на рисунке ниже.
На странице просмотра перечня правил маскировки для каждого правила выводятся следующие сведения:
| • | Исходящий интерфейс – На какой интерфейс (и в какую сеть через него) следует трафик. |
| • | Сеть для маскировки – Сетевой адрес (в формате CIDR) или имя зоны сети, описывающие перечень маскируемых адресов. |
| • | Адрес SNAT – Используемый адрес для SNAT (если пусто – не используется). |
При помощи пиктограмм, размещенных в списке, можно управлять порядком следования правил в списке:
|
Перемещение правила маскировки на одну позицию в списке наверх |
|
Перемещение правила маскировки на одну позицию в списке вниз |
|
Добавление в список нового правила маскировки на позицию выше текущего |
|
Добавление в список нового правила маскировки на позицию ниже текущего |
Щелчок по ссылке Добавить новый комментарий позволяет добавить в список правил маскировки строку комментария.
Добавление нового правила маскировки
| 1. | Нажмите ссылку Добавить новое правило маскировки. На экране откроется страница добавления нового правила маскировки. |
| 2. | Задайте следующие параметры правила маскировки: |
| • | Выберите Исходящий интерфейс из выпадающего списка. |
| • | Если требуется подвергать маскировке не все пакеты, следующие через указанный исходящий интерфейс, а только те, которые отправляются на известный перечень хостов, то следует включить флажок Только для назначения и указать в поле справа от него IP-адреса хостов, при направлении к которым IP-пакеты будут подвергаться маскировке. IP-адреса перечисляются через запятую. |
| • | В поле Сеть для маскировки укажите способ определения IP-адресов, подлежащих маскировке. В случае выбора переключателя Адрес подсети следует указать сетевой адрес в формате CIDR, описывающий диапазон IP-адресов, маскировка которых требуется. В случае если выбрать переключатель Подсеть на интерфейсе, маскировка будет выполняться для пакетов, следующих из всех сетевых зон, закрепленных за этим интерфейсом. Для этого из выпадающего списка следует выбрать название сетевого интерфейса. При необходимости можно исключить из этого списка сетевые диапазоны, включив флажок Кроме сетей, и задав (через запятую) адреса сетей, пакеты из которых маскироваться не будут. |
| • | В поле Адрес SNAT укажите режим использования SNAT. Если SNAT не используется, установите переключатель в None. В противном случае выберите переключатель справа и в поле ввода укажите адрес, используемый для SNAT на данном интерфейсе. |
| • | Определите, для каких протоколов будет применяться маскировка, выбрав соответствующую опцию в поле Ограничить до протокола. Если преобразование должно выполняться для любого протокола, активируйте переключатель Любой протокол. В случае необходимости использовать преобразование только для конкретного протокола, следует включить переключатель сбоку от выпадающего списка и выбрать в списке протокол, для которого будет применяться преобразование адресов. |
| • | Определите, для каких портов будет применяться маскировка, выбрав соответствующую опцию в поле Ограничить до портов. Если преобразование должно выполняться для любого порта, активируйте переключатель Все порты. В случае необходимости использовать преобразование только для конкретного набора портов, следует включить переключатель сбоку от поля ввода и ввести в поле перечень портов (через запятую), для которого будет применяться преобразование адресов. |
| • | Если используется защищенный транспорт IPsec, a поле Ipsec опции определяются параметры, которые будут использованы при маскировке. Рекомендуется оставить включенным переключатель По умолчанию. При необходимости задания особых опций следует включить переключатель сбоку от поля ввода и ввести в поле требуемые опции. Опции вводятся в виде пар 'опция=значение', разделенных запятой. |
| 3. | Нажмите кнопку Сохранить. |
Вид страницы добавления нового сетевого интерфейса показан на рисунке ниже.
Редактирование правил маскировки
Для редактирования правила маскировки нажмите на его исходящий интерфейс в списке, после чего на экране откроется страница редактирования правила маскировки, аналогичная странице добавления нового правила маскировки.
Чтобы применить внесенные изменения, нажмите кнопку Сохранить. Чтобы удалить правило маскировки, нажмите кнопку Удалить.
Удаление правил маскировки
Для удаления правила маскировки выделите его в списке, активировав флажок в строке списка возле его исходящего интерфейса. При необходимости можно выделить несколько правил, активировав соответствующие флажки. Дополнительные возможности выделения:
| • | Щелчок по ссылке Выделить все выделяет все правила маскировки в списке, |
| • | Щелчок по ссылке Инвертировать выделение инвертирует выделение, делая не выбранные элементы списка выбранными, и наоборот. |
Для удаления выбранных правил необходимо нажать кнопку Удалить выбранное.
|
Удаление правил маскировки – необратимая операция. В случае если удаленное правило маскировки потребуется в дальнейшем, его придется создать и настроить заново. |
Ручная правка файла правил маскировки Shorewall
Имеется возможность отредактировать файл Shorewall, хранящий список правил маскировки. Для редактирования вручную файла Shorewall, расположенного в /etc/shorewall/, нажмите Редактировать файл вручную. После этого на экране откроется страница редактирования содержимого файла. Введите список правил маскировки в текстовое поле в формате, используемом Shorewall (одна строка – одно правило, поля разделяются пробелом или табуляцией).
Нажатие кнопки Сохранить сохраняет внесенные изменения в файл правил маскировки, а нажатие кнопки Отменить позволяет отказаться от внесения изменений в файл.
|
Обратите внимание, что при редактировании файла правил маскировки Shorewall вручную не производится проверка синтаксиса и корректности введенного текста. Неправильное заполнение файла может привести к сбросу списка правил маскировки Shorewall. |