このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
ネットワーク・アドレス変換(NAT)では、様々なアドレス・スキームがあるプライベート・ネットワーク内のコンピュータまたはコンピュータのグループに、パブリック・アドレスが割り当てられます。 パブリックIPアドレスによって、すべてのリクエストが複数のサーバーではなく1つのサーバーに送信されるようにマスカレードされます。 NATは、組織で調達する必要があるパブリックIPアドレスの数を制限し、内部ネットワークの詳細を非表示にすることによって特別なセキュリティを提供するために有益です。
netfilter
カーネル・サブシステムでは、パケット・フィルタリング用の表に加えて、NATを実装するnat
が提供されます。 カーネルでは、新しい受信または送信接続を作成するパケットを処理するたびに、nat
表が参照されます。
システムで、その2つのネットワーク・インタフェース間でパケットをルーティングできるようにするには、IP転送をオンにする必要があります。
# echo 1 > /proc/sys/net/ipv4/ip_forward
NAT表には、次の組込みルール・チェーンが含まれています。
-
PREROUTING
外部ネットワークから送信されたパケットを処理します。
-
OUTPUT
ホスト・システムで生成されたパケットを外部に送信する前に処理します。
-
POSTROUTING
ローカル・システムから送信されたパケットを外部に送信する前に処理します。
NAT表には、ルール・チェーンで使用できる次のターゲットがあります。
-
DNAT
受信パケットを別のホストにルーティングするために、宛先IPアドレスとポートを変更します。
-
SNAT
送信パケットが別のホストから送信されたようにするために、送信パケットのソースIPアドレスとポートを変更します。
-
MASQUERADE
ノードのプライベートIPアドレスを、ファイアウォールまたはゲートウェイ・ルーターの外部IPアドレスでマスクします。
次の例は、NATがPREROUTING
チェーンを使用して、eth0
インタフェース上の受信HTTPリクエストを、専用HTTPサーバー192.168.1.100のポート8080に転送することを指定しています。 ルールによって、パケットの宛先アドレスとポートが変更されます。
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80
\-j DNAT --to 192.168.1.100:8080
次の例は、プライベートIPアドレスがあるLAN上のノードが外部パブリック・ネットワークと通信できるようにします。
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
このルールは、内部システムからのリクエストが、ファイアウォールの外部のインタフェース(eth1
)のIPアドレスから送信されたようにします。
ファイアウォール構成GUI (system-config-firewall)を使用して、単純なマスカレードおよびポート転送を構成することもできます。
詳細は、iptables(8)
マニュアル・ページを参照してください。