Prezentacja numer jedenaście z cyklu Administracja Sieci Komputerowych poświęcona jest w całości tematyce zapór sieciowych i translacji adresów w systemie Linux. W materiale przedstawiono zarówno teoretyczne podstawy działania frameworku Netfilter wbudowanego w jądro systemu, jak i praktyczne aspekty konfiguracji reguł filtrowania pakietów z użyciem narzędzi iptables oraz nftables.

Szczególny nacisk położono na zrozumienie różnic między filtrowaniem stateless a stateful, architekturę łańcuchów (chains) oraz polityki domyślne kształtujące zachowanie zapory. Druga część prezentacji koncentruje się na mechanizmach NAT – zarówno źródłowym (SNAT, masquerading), jak i docelowym (DNAT, port forwarding).

Prezentacja zawiera szczegółowe laboratorium krok po kroku, w którym przedstawiono praktyczną konfigurację firewalla i NAT na rzeczywistym przykładzie routera Linux. Całość uzupełniają techniki troubleshootingu, użycie tcpdump do debugowania oraz ściągawka (cheat sheet) najważniejszych poleceń.

Głównym celem warsztatu jest wyposażenie uczestników w praktyczną wiedzę niezbędną do konfiguracji i utrzymania zapory sieciowej w systemie Linux w środowisku produkcyjnym. Obejmuje to zarówno ochronę samego hosta (INPUT/OUTPUT), jak i konfigurację routera z funkcją firewalla dla ruchu tranzytowego (FORWARD).

Drugim kluczowym obszarem jest translacja adresów sieciowych (NAT), bez której działanie współczesnego Internetu w oparciu o IPv4 nie byłoby możliwe. Uczestnicy nauczą się konfigurować SNAT dla ruchu wychodzącego, DNAT dla usług dostępnych z zewnątrz oraz mechanizm masquerading dla interfejsów z dynamicznym adresem IP.

Warsztat kładzie silny nacisk na aspekty bezpieczeństwa – uczestnicy poznają zasadę least privilege (otwieraj tylko niezbędne porty), politykę Drop by Default oraz techniki audytu reguł firewalla. Wiedza ta jest niezbędna każdemu administratorowi systemów Linux odpowiedzialnemu za bezpieczeństwo sieci.

Prezentacja podzielona jest na osiem bloków tematycznych, które prowadzą uczestnika od podstaw architektury Netfilter, przez zaawansowane konfiguracje NAT, aż po praktyczne laboratorium i troubleshooting. Pierwsze dwadzieścia minut poświęcono na głęboką teorię, a pozostałe trzydzieści na intensywną demonstrację i warsztat praktyczny.

W bloku architektury Netfilter omówione zostaną punkty zaczepienia w stosie TCP/IP jądra Linux, na których opiera się cały system filtrowania pakietów. Zrozumienie tych mechanizmów jest kluczowe dla poprawnego projektowania reguł firewalla, szczególnie w kontekście routingu i NAT.

Blok praktyczny obejmuje konfigurację routera Linux od podstaw: włączenie ip_forward, ustawienie domyślnych polityk DROP, dodanie reguł ACCEPT dla niezbędnych usług, konfigurację masquerady oraz przekierowanie portów na wewnętrzny serwer.

Netfilter to nie jest osobny program ani usługa – to zestaw funkcji i struktur danych wbudowanych bezpośrednio w jądro systemu Linux. Jego głównym zadaniem jest umożliwienie przechwytywania, inspekcji i modyfikacji pakietów sieciowych na różnych etapach ich przepływu przez stos TCP/IP.

Architektura Netfilter opiera się na pięciu głównych punktach zaczepienia (hooks): NF_IP_PRE_ROUTING, NF_IP_LOCAL_IN, NF_IP_FORWARD, NF_IP_LOCAL_OUT oraz NF_IP_POST_ROUTING. Każdy z nich przechwytuje pakiet na innym etapie jego podróży przez system.

Każdy z tych hooków może być powiązany z regułami filtrowania, które decydują o losie pakietu – ACCEPT, DROP, REJECT, QUEUE lub RETURN. Zrozumienie tych punktów zaczepienia jest absolutnie kluczowe dla poprawnej konfiguracji firewalla i NAT.

Kolejność przechodzenia pakietu przez punkty hook Netfilter zależy od tego, czy pakiet jest przeznaczony dla lokalnego procesu, czy jest tranzytowy. Dla pakietu przychodzącego do lokalnej usługi ścieżka wygląda następująco: PREROUTING → INPUT. Dla pakietu tranzytowego: PREROUTING → FORWARD → POSTROUTING.

Dla pakietu wychodzącego z lokalnego procesu ścieżka to: OUTPUT → POSTROUTING. Zrozumienie tych ścieżek jest kluczowe przy projektowaniu reguł firewalla – reguła umieszczona w niewłaściwym łańcuchu może nie zadziałać zgodnie z oczekiwaniami, przepuszczając ruch, który powinien być blokowany.

W kontekście NAT reguły DNAT muszą być umieszczone w łańcuchu PREROUTING tabeli nat, ponieważ decyzja routingu musi być podjęta na podstawie już zmodyfikowanego adresu. Reguły SNAT umieszcza się w łańcuchu POSTROUTING, po podjęciu decyzji routingu.

Firewall bezstanowy (stateless) przetwarza każdy pakiet w izolacji, nie posiadając informacji o poprzednich pakietach należących do tego samego połączenia. Oznacza to, że aby przepuścić ruch, należy dodać reguły zarówno dla pakietów wychodzących, jak i przychodzących, co znacznie komplikuje konfigurację.

Firewall stanowy (stateful) prowadzi tablicę aktywnych połączeń (connection tracking), co pozwala na podejmowanie decyzji w kontekście całej sesji komunikacyjnej. Dzięki temu wystarczy dodać regułę ACCEPT dla ruchu NEW dla inicjowanego połączenia, a pakiety powrotne (ESTABLISHED) i pakiety połączeń pochodnych (RELATED) są automatycznie przepuszczane.

Moduł conntrack w Netfilter śledzi nie tylko połączenia TCP, ale także sesje UDP (pseudopołączenia) i komunikaty ICMP. Stany NEW, ESTABLISHED, RELATED i INVALID pozwalają na precyzyjne i bezpieczne budowanie reguł firewalla.

Łańcuch INPUT obsługuje pakiety przychodzące, które są adresowane do lokalnego procesu – na przykład połączenie SSH do serwera, zapytanie DNS do lokalnego resolvera, czy żądanie HTTP do serwera WWW. To podstawowy łańcuch do ochrony samego hosta przed nieautoryzowanym dostępem z zewnątrz.

Łańcuch FORWARD jest kluczowy dla routerów Linux – obsługuje pakiety, które nie są adresowane do lokalnego procesu, ale mają być przekazane do innego interfejsu sieciowego. Bez odpowiednich reguł w FORWARD ruch tranzytowy nie będzie przepuszczany, nawet jeśli ip_forward jest włączone.

Łańcuch OUTPUT kontroluje pakiety inicjowane przez lokalne procesy – na przykład żądania HTTP z przeglądarki na serwerze, zapytania DNS z resolvera, czy połączenia SSH wychodzące. Jest często używany do blokowania ruchu wychodzącego z zainfekowanych procesów lub do ograniczania dostępu do określonych zasobów zewnętrznych.

Wybór polityki domyślnej (default policy) dla każdego z trzech głównych łańcuchów ma fundamentalne znaczenie dla bezpieczeństwa całego systemu. Polityka ACCEPT oznacza, że jeśli żadna reguła nie dopasuje pakietu, zostanie on przepuszczony – to podejście jest wygodne, ale niebezpieczne.

Polityka DROP implementuje zasadę domyślnej odmowy (default deny) – tylko jawnie dozwolony ruch jest przepuszczany. Jest to zgodne z najlepszymi praktykami bezpieczeństwa (CIS Benchmarks, NSA Guidelines). Odwrotną stroną medalu jest większe ryzyko przypadkowego zablokowania działającej usługi.

W praktyce produkcyjnej stosuje się najczęściej politykę DROP dla INPUT i FORWARD, oraz ACCEPT dla OUTPUT. Dla ruchu lokalnego (localhost) często dodaje się osobną regułę ACCEPT na początku, aby nie blokować komunikacji międzyprocesowej na porcie loopback.

Wdrożenie polityki Drop by Default wymaga systematycznego podejścia. Zanim ustawi się domyślną politykę na DROP, należy upewnić się, że istnieją reguły zezwalające na niezbędną komunikację – w przeciwnym razie można stracić dostęp do serwera, szczególnie w przypadku zdalnego połączenia SSH.

Pierwszym krokiem jest dodanie reguł dla interfejsu loopback (lo) – komunikacja między procesami na tym samym hoście odbywa się przez ten interfejs. Bez reguł ACCEPT dla lo wiele podstawowych usług systemowych przestanie działać poprawnie.

Drugim kluczowym krokiem jest dodanie reguły przepuszczającej pakiety w stanach ESTABLISHED i RELATED. Dzięki tej regule, jeśli lokalny proces zainicjuje połączenie wychodzące, pakiety powrotne będą automatycznie przepuszczane mimo domyślnej polityki DROP dla INPUT.

Connection tracking to mechanizm, który umożliwia firewollowi stanowemu (stateful) śledzenie wszystkich połączeń przechodzących przez system. Każde połączenie jest identyfikowane przez krotkę: adres źródłowy, adres docelowy, port źródłowy, port docelowy i protokół.

Narzędzie conntrack (część pakietu conntrack-tools) pozwala na zaawansowane monitorowanie i zarządzanie tablicą połączeń. Polecenie conntrack -L pokazuje wszystkie aktywne wpisy, a conntrack -E umożliwia nasłuchiwanie zdarzeń w czasie rzeczywistym.

W środowiskach z dużą liczbą jednoczesnych połączeń należy monitorować rozmiar tablicy conntrack, aby nie osiągnąć limitu nf_conntrack_max. Przekroczenie limitu powoduje odrzucanie nowych połączeń, co objawia się błędami timeout dla klientów.

Stan NEW oznacza pierwszy pakiet nowego połączenia, który nie jest powiązany z żadnym istniejącym wpisem w tablicy conntrack. Dla TCP będzie to pakiet z flagą SYN, dla UDP pierwszy pakiet w danym kierunku, a dla ICMP pierwsze echo-request. Reguły ACCEPT dla NEW powinny być bardzo selektywne.

Stan ESTABLISHED oznacza, że conntrack widział już ruch w obu kierunkach. Dla TCP oznacza to, że trójstronne uzgodnienie (SYN, SYN-ACK, ACK) zostało zakończone. Dla UDP wystarczy, że pakiet powrotny został zarejestrowany. To najważniejszy stan dla reguł firewalla – powinien być zawsze akceptowany.

Stan RELATED pojawia się, gdy conntrack rozpoznaje nowe połączenie powiązane z istniejącym. Klasycznym przykładem jest protokół FTP w trybie aktywnym, gdzie połączenie kontrolne (port 21) inicjuje połączenie danych (port 20). Moduł nf_conntrack_ftp śledzi te zależności.

Pakiety oznaczone jako INVALID przez system conntrack to poważny sygnał ostrzegawczy – mogą świadczyć o ataku (nmap, OS fingerprinting, TCP injection), błędzie konfiguracji lub problemie z fragmentacją pakietów IP. W każdym przypadku taki pakiet powinien być natychmiast odrzucony przez DROP.

Przykłady pakietów INVALID: pakiety TCP z flagą SYN dla istniejącego połączenia (próba desynchronizacji), pakiety z błędną sumą kontrolną, pakiety TCP z kombinacją SYN+FIN (używane w skanowaniu), oraz pakiety ICMP niepasujące do żadnego oczekiwanego połączenia.

Umieszczenie reguły INVALID na początku łańcucha INPUT i FORWARD jest najlepszą praktyką bezpieczeństwa. Zapewnia to odrzucenie niepoprawnych pakietów jeszcze przed próbą dopasowania do innych reguł, co zmniejsza obciążenie CPU i zabezpiecza przed atakami.

iptables to narzędzie przestrzeni użytkownika, które komunikuje się z frameworkiem Netfilter w jądrze przez gniazda netlink. Mimo że jest stopniowo wypierane przez nftables, wciąż pozostaje najczęściej spotykanym narzędziem do konfiguracji firewalla w systemach Linux.

Architektura iptables opiera się na tabelach grupujących reguły według przeznaczenia. Tabela filter służy do filtrowania, nat do translacji adresów, mangle do modyfikacji nagłówków, raw do pomijania conntrack, a security do reguł SELinux.

Każda tabela ma predefiniowane łańcuchy powiązane z punktami hook Netfilter. Tabela filter ma łańcuchy INPUT, FORWARD i OUTPUT, tabela nat ma PREROUTING, POSTROUTING i OUTPUT, a tabela mangle zawiera wszystkie pięć łańcuchów.

Składnia iptables oferuje wiele opcji dopasowania pakietów. Podstawowe kryteria to źródłowy adres IP (-s), docelowy adres IP (-d), protokół (-p tcp/udp/icmp), interfejs wejściowy (-i) i wyjściowy (-o). Dla TCP i UDP dodatkowo port źródłowy (--sport) i docelowy (--dport).

Moduły dopasowania (match modules) rozszerzają możliwości: conntrack (--ctstate) filtruje po stanie połączenia, limit ogranicza liczbę pakietów, recent śledzi częstotliwość połączeń z IP, a multiport umożliwia podanie wielu portów jednocześnie.

Cel (target) określa co zrobić z pakietem: ACCEPT, DROP, REJECT, LOG, MASQUERADE, SNAT, DNAT. Możliwe jest również przekazanie pakietu do własnego łańcucha użytkownika.

nftables został wprowadzony w jądrze Linux 3.13 (2014) jako następca całego stosu iptables/ip6tables/arptables/ebtables. Główną motywacją było uproszczenie architektury – zamiast czterech odrębnych narzędzi z różną składnią, nftables oferuje jednolitą platformę.

W przeciwieństwie do iptables, gdzie każda reguła dodawana jest osobno, nftables operuje na plikach reguł (ruleset) ładowanych atomowo do jądra. Eliminuje to problem czasowego otwarcia dostępu przy błędnej kolejności reguł.

nftables wprowadza zestawy (sets) i słowniki (maps), które upraszczają zarządzanie dużymi zbiorami reguł. Zamiast dziesięciu reguł dla dziesięciu adresów IP, definiuje się zestaw i odwołuje w jednej regule, co poprawia czytelność i wydajność.

Rodzina adresów w nftables określa dla jakiego protokołu obowiązują reguły. Rodzina inet łączy IPv4 i IPv6, co eliminuje potrzebę duplikowania. Rodzina ip dotyczy tylko IPv4, ip6 tylko IPv6, bridge – ruchu mostkowanego, a arp – protokołu ARP.

Definicja łańcucha wymaga podania typu (filter, nat, route), punktu hook (input, forward, output, prerouting, postrouting) oraz priorytetu określającego kolejność przetwarzania. Niższa wartość priorytetu oznacza wcześniejsze przetwarzanie.

W przeciwieństwie do iptables, gdzie tabele i łańcuchy są predefiniowane, w nftables wszystko tworzy się jawnie. Polecenie nft list ruleset wyświetla całą konfigurację w formacie do ponownego załadowania.

Dla nowych wdrożeń nftables jest zdecydowanie zalecany – oferuje lepszą wydajność, prostszą składnię, atomowe ładowanie reguł i wbudowane struktury danych. Nowe dystrybucje Linux domyślnie używają nftables.

Jednak iptables wciąż ma swoje miejsce – ogromna istniejąca baza zainstalowanych systemów, skrypty automatyzacji (Ansible, Puppet) często używają iptables. Ponadto niektóre starsze moduły Netfilter nie mają jeszcze odpowiedników w nftables.

Narzędzie iptables-translate pomaga w migracji, tłumacząc reguły iptables na składnię nftables. Polecenie iptables-translate -A INPUT -s 10.0.0.0/8 -j DROP pokaże odpowiednik w nftables.

Selektywne otwieranie reguł ACCEPT to realizacja zasady najmniejszych uprawnień (least privilege). Zamiast otwierać szeroki zakres portów dla wszystkich adresów, precyzyjnie określa się kto, co i w jaki sposób może uzyskać dostęp do danej usługi.

Reguły ACCEPT powinny być możliwie najbardziej restrykcyjne. Dostęp do SSH powinien być ograniczony do konkretnej sieci administracyjnej, a panel administracyjny (port 8443) tylko z wewnętrznej sieci zarządzania.

Kolejność reguł ma znaczenie – reguły bardziej szczegółowe przed ogólnymi. Reguła zezwalająca na SSH z sieci biurowej powinna być przed ewentualną regułą blokującą cały ruch SSH.

Zasada najmniejszych uprawnień (least privilege) w kontekście firewalla oznacza, że każda reguła powinna przyznawać tylko minimalny zakres dostępu niezbędny do działania danej usługi. Nie chodzi tylko o port – ale także o źródło, cel, protokół, interfejs i stan połączenia.

Wielu administratorów popełnia błąd, dodając zbyt ogólne reguły dla wygody, na przykład otwierając cały zakres portów 1024-65535 zamiast polegać na conntrack. Innym częstym błędem jest używanie protokołu TCP zamiast konkretnych portów.

Regularny audyt reguł firewalla jest kluczowy. Należy przynajmniej raz na kwartał przeglądać listę reguł i identyfikować nieużywane. Polecenie iptables -L -n -v z licznikami pakietów pokazuje, które reguły są faktycznie używane.

Jednym z najczęstszych błędów jest dodanie reguł bez ich zapisania – po restarcie wszystkie znikają. Reguły iptables są przechowywane wyłącznie w pamięci jądra i nie są automatycznie zapisywane na dysk. Konieczne jest jawne wykonanie iptables-save.

W Debianie/Ubuntu pakiet iptables-persistent automatycznie ładuje reguły z /etc/iptables/rules.v4 przy starcie. W RHEL/CentOS reguły zapisuje się poleceniem service iptables save.

Dla nftables proces jest prostszy – ruleset zapisuje się do pliku przez nft list ruleset, a ładuje poleceniem nft -f. Usługa systemd nftables.service automatycznie ładuje reguły przy starcie systemu.

Network Address Translation (NAT) pozwala wielu urządzeniom w sieci prywatnej współdzielić jeden lub kilka publicznych adresów IP. W dobie wyczerpywania się puli adresów IPv4 NAT stał się niezbędnym elementem infrastruktury sieciowej.

Adresy prywatne z RFC 1918 nie są routowane w publicznym Internecie, dlatego pakiety wychodzące muszą mieć zmieniony źródłowy adres IP na publiczny adres interfejsu zewnętrznego. Pakiety powrotne muszą mieć zmieniony adres docelowy z publicznego na prywatny.

NAT w Linux jest realizowany przez conntrack i tabele nat Netfilter. Tabela nat ma trzy łańcuchy: PREROUTING (DNAT), POSTROUTING (SNAT/MASQUERADE) i OUTPUT (DNAT dla pakietów lokalnych).

Mechanizm NAT opiera się na tablicy translacji prowadzonej przez conntrack. Gdy pakiet z sieci prywatnej (192.168.1.10:34567) wychodzi na zewnątrz, router zmienia jego źródłowy adres IP na swój publiczny (203.0.113.5) i często port źródłowy.

Gdy pakiet powrotny przychodzi na adres 203.0.113.5:54321, conntrack odwraca translację – zmienia docelowy adres IP i port z powrotem na 192.168.1.10:34567. Dla hosta wewnętrznego cały proces jest przezroczysty.

PAT pozwala wielu hostom współdzielić jeden publiczny adres IP. Conntrack używa portów TCP/UDP do rozróżniania połączeń, umożliwiając tysiące jednoczesnych połączeń przez jeden adres IP.

SNAT zmienia źródłowy adres IP pakietu. Stosuje się go dla ruchu wychodzącego z sieci lokalnej do Internetu – adresy prywatne muszą być przetłumaczone na publiczny adres routera, aby pakiety były routowane w Internecie.

Reguły SNAT umieszcza się w łańcuchu POSTROUTING tabeli nat, po zakończeniu routingu. Opcja --to-source określa docelowy adres źródłowy. SNAT wymaga podania konkretnego adresu IP interfejsu zewnętrznego.

SNAT można skonfigurować z pulą adresów (--to-source IP1-IP2), co rozkłada ruch na wiele adresów publicznych. Jest to popularne w data center, gdzie klient ma przydzieloną pulę adresów IP.

Masquerading to forma SNAT, w której adres źródłowy pobierany jest automatycznie z interfejsu wyjściowego. Główną zaletą jest działanie przy dynamicznie zmieniającym się adresie IP – na przykład PPPoE (DSL) lub DHCP.

W przypadku SNAT statycznego, zmiana adresu IP interfejsu zewnętrznego powoduje niedziałanie reguły. Masquerade automatycznie wykrywa bieżący adres i używa go do translacji.

Kosztem jest nieco większe obciążenie – każdy pakiet wymaga sprawdzenia bieżącego adresu interfejsu. Dla typowego routera domowego różnica jest pomijalna.

Wybór między SNAT a MASQUERADE zależy od charakteru połączenia zewnętrznego. Dla statycznego adresu IP (serwery dedykowane, łącza biznesowe) zaleca się SNAT z jawnym adresem źródłowym dla lepszej wydajności.

Dla dynamicznego adresu IP (łącza domowe, DSL, LTE/5G) masquerade jest jedynym sensownym wyborem. Użycie SNAT z adresem, który może ulec zmianie, doprowadzi do przerwania ruchu po zmianie adresu.

W środowiskach z pulą publicznych adresów IP (np. /28 od dostawcy) stosuje się SNAT z zakresem, co automatycznie rozkłada połączenia na dostępne adresy publiczne.

Pierwszym krokiem jest włączenie forwardingu (ip_forward), domyślnie wyłączonego ze względów bezpieczeństwa. Bez tego pakiety nie będą przekazywane między interfejsami.

Następnie konfiguruje się reguły FORWARD. Nawet przy poprawnym NAT, pakiety tranzytowe muszą być jawnie dozwolone. Najpierw dodaje się reguły dla ESTABLISHED i RELATED, potem dla ruchu NEW z sieci lokalnej.

Na końcu reguła SNAT w POSTROUTING. Określa, że ruch z 192.168.1.0/24 przez eth0 ma mieć adres źródłowy 203.0.113.5.

Masquerading na interfejsie PPPoE jest typowe dla routerów domowych. Połączenie DSL tworzy interfejs ppp0 z adresem IP przydzielanym przez dostawcę, zmieniającym się przy każdej sesji.

Reguła MASQUERADE przypisana do ppp0 automatycznie wykrywa publiczny adres. Po przerwaniu i ponownym nawiązaniu połączenia z innym adresem, masquerade dostosowuje się bez modyfikacji reguł.

Reguły FORWARD są restrykcyjne – tylko ruch z źródłowej sieci 10.0.0.0/24 inicjuje nowe połączenia. Ruch z Internetu do LAN jest domyślnie blokowany.

Connection tracking i NAT są ściśle powiązane. Gdy pakiet podlega translacji, conntrack zapisuje oryginalną i przetłumaczoną parę adresów, umożliwiając automatyczne odwrócenie translacji przy pakietach powrotnych.

Dla SNAT, wpis zawiera oryginalny adres źródłowy (192.168.1.10) i przetłumaczony (203.0.113.5). Przy pakiecie powrotnym conntrack odwraca translację – zmienia adres docelowy na 192.168.1.10.

Czas życia wpisu NAT zależy od protokołu: TCP pozostaje 5 dni po zakończeniu połączenia, UDP około 30 sekund, ICMP około 30 sekund. W środowiskach z dużym ruchem warto monitorować rozmiar tablicy conntrack.

NAT modyfikuje nagłówki IP i transportowe, ale nie dane aplikacji. Niektóre protokoły przesyłają adresy IP w payload (FTP w komendzie PORT), co wymaga dodatkowych modułów conntrack do poprawnej translacji.

Dla FTP w trybie aktywnym serwer wysyła klientowi adres IP w payload. Moduł nf_conntrack_ftp analizuje payload i modyfikuje wpisy NAT. Podobnie dla SIP (nf_conntrack_sip) i PPTP (nf_conntrack_pptp).

Rozwiązaniem jest załadowanie odpowiednich modułów conntrack lub zastosowanie ALG (Application Layer Gateway) analizujących i modyfikujących payload pakietów.

IPv6 został zaprojektowany z założeniem, że każdy host ma globalnie routowalny adres. Teoretycznie NAT nie jest potrzebny, przywracając zasadę end-to-end utraconą w erze NAT IPv4.

W praktyce NAT w IPv6 bywa stosowany, gdy dostawca przydziela tylko prefiks /64 (zamiast /56), wymuszając NPTv6 do dalszej segmentacji. Przejście z IPv4 wymaga też NAT64/DNS64 do translacji między protokołami.

NPTv6 zmienia tylko prefiks, pozostawiając identyfikator interfejsu. Jest bezstanowy, co eliminuje problemy z FTP czy SIP. Mimo braku NAT, IPv6 wymaga firewalla, ponieważ każdy host jest bezpośrednio dostępny z Internetu.

DNAT zmienia docelowy adres IP pakietu przychodzącego. Główne zastosowanie to udostępnianie usług z sieci prywatnej do Internetu. Bez DNAT serwer 192.168.1.10 nie byłby dostępny z zewnątrz.

Reguły DNAT w PREROUTING są przetwarzane przed decyzją routingu. DNAT zmienia adres, a routing podejmuje decyzję na podstawie zmodyfikowanego adresu, kierując pakiet do odpowiedniego interfejsu.

Po DNAT pakiet trafia do FORWARD. Należy dodać reguły FORWARD zezwalające na ruch do wewnętrznego serwera – bez tego pakiet zostanie odrzucony przez domyślną politykę DROP.

Przekierowanie portów kieruje pakiety z określonego portu zewnętrznego adresu IP routera na adres IP i port wewnętrznego serwera. To podstawowa technika udostępniania usług z sieci prywatnej.

Ruch na port 80 routera jest przekierowywany na 192.168.1.10:80. Dla klienta z Internetu wygląda to jak serwer działający na routerze.

Mapowanie portu 3030 na 22 pozwala udostępnić SSH na niestandardowym porcie, omijając skanowanie botów na porcie 22.

Błędem jest dodanie tylko DNAT bez reguł FORWARD. DNAT zmienia adres, ale pakiet nadal przechodzi przez FORWARD. Przy domyślnej polityce DROP pakiet zostanie odrzucony.

Reguła FORWARD powinna być precyzyjna: protokół, docelowy IP serwera, port i stan NEW. Tylko ruch dla konkretnej usługi jest przepuszczany.

Reguła dla ESTABLISHED,RELATED jest niezbędna dla ruchu powrotnego. Bez niej odpowiedź serwera zostanie zablokowana.

W środowiskach produkcyjnych często udostępnia się wiele usług na różnych serwerach. Każda wymaga osobnej reguły DNAT w PREROUTING i odpowiadającej reguły FORWARD.

Moduł multiport pozwala połączyć wiele portów w jednej regule FORWARD, co upraszcza konfigurację i jest bardziej czytelne.

DNAT można ograniczyć źródłowym adresem IP (-s 192.168.2.0/24), co zwiększa bezpieczeństwo – usługa dostępna tylko z sieci VPN.

Router wykonując DNAT zmienia adres docelowy, ale źródłowy pozostaje niezmieniony. Teoretycznie serwer widzi faktyczny adres klienta, ale w praktyce pakiety powrotne muszą wrócić przez router.

Jeśli serwer ma bramę domyślną na router, pakiety powrotne trafiają na router, który forwarduje je do klienta. W tym przypadku serwer widzi faktyczny adres klienta.

Problemy pojawiają się przy dodatkowym SNAT na ruchu DNAT. W HTTP popularnym rozwiązaniem jest nagłówek X-Forwarded-For dodawany przez reverse proxy.

NAT reflection (hairpin NAT) dodaje SNAT dla pakietów po DNAT, zapewniając że pakiety powrotne wracają przez router. Bez tego, gdy klient LAN łączy się przez adres publiczny, serwer odpowiada bezpośrednio.

Klient z sieci wewnętrznej łączy się przez publiczny adres routera. Router wykonuje DNAT, serwer odpowiada bezpośrednio do klienta (ta sama sieć). Odpowiedź ma adres serwera, nie publiczny routera – klient odrzuca.

NAT reflection dodaje SNAT w POSTROUTING, zmieniając źródło na adres routera. Serwer odpowiada do routera, który przekazuje do klienta. Wada: dodatkowe obciążenie routera.

Przekierowanie portów obsługuje zakresy portów (--dport 27015:27030), przydatne dla gier sieciowych, VoIP i aplikacji P2P korzystających z wielu portów.

Konfiguracja DMZ przekierowuje cały ruch na jeden serwer. Jest wygodna, ale niebezpieczna – wystawia cały serwer na ataki. Zaleca się przekierowywanie tylko niezbędnych portów.

DNAT działa niezależnie dla TCP i UDP. Dla usług korzystających z obu (DNS na porcie 53) należy dodać osobne reguły dla każdego protokołu.

DNAT pozwala elastycznie zarządzać dostępem do usług wewnętrznych bez ujawniania topologii sieci. Klient widzi tylko publiczny adres routera.

Równoważenie obciążenia realizuje się przez DNAT z modułem statistic: iptables -t nat -A PREROUTING -p tcp --dport 80 -m statistic --mode nth --every 2 --packet 0 -j DNAT --to-destination 192.168.1.10:80 i następna dla 192.168.1.11:80.

Przekierowanie portów ułatwia migracje – zmiana adresu w regule DNAT jest przezroczysta dla klientów, minimalizując czas przestoju.

Pierwszym krokiem w konfiguracji routera Linux jest włączenie forwardingu IP. Domyślnie jądro nie przekazuje pakietów między interfejsami – to zabezpieczenie przed nieautoryzowanym routingiem.

Parametr ustawia się tymczasowo (sysctl -w) lub trwale w /etc/sysctl.conf. Ustawienie tymczasowe działa do restartu. W konfiguracji produkcyjnej konieczne jest trwałe ustawienie.

W nowych dystrybucjach zaleca się pliki w /etc/sysctl.d/. Plik 99-forward.conf z zawartością net.ipv4.ip_forward=1 jest czytelny i łatwy do audytu.

Przed konfiguracją warto sprawdzić stan reguł. iptables -nL -v wyświetla reguły z licznikami pakietów i bajtów. Opcja -n wyłącza rozwiązywanie nazw, -v włącza tryb szczegółowy.

Tabela nat ma własne reguły, widoczne przez iptables -t nat -L -n -v. Łańcuchy PREROUTING, POSTROUTING i OUTPUT są puste do czasu dodania reguł NAT.

Opcja --line-numbers dodaje numerację, niezbędną przy wstawianiu (iptables -I INPUT 5) lub usuwaniu reguł (iptables -D INPUT 5).

Po włączeniu ip_forward konfigurujemy reguły FORWARD. Polityka DROP dla FORWARD jest bezpiecznym domyślnym ustawieniem. Następnie dodajemy reguły dla ESTABLISHED,RELATED (ruch powrotny) i NEW (inicjowanie połączeń z LAN).

Reguła MASQUERADE w POSTROUTING tabeli nat tłumaczy adresy źródłowe wszystkich pakietów z sieci 192.168.1.0/24 wychodzących przez eth0 na adres tego interfejsu.

Hosty w sieci LAN mogą teraz inicjować połączenia do Internetu, a pakiety powrotne są automatycznie kierowane z powrotem dzięki conntrack.

Reguła DNAT w PREROUTING przekierowuje ruch z portu 80 routera na serwer 192.168.1.10:80. Bez reguły FORWARD pakiet zostałby odrzucony przez politykę DROP.

Reguła FORWARD dla NEW pozwala na inicjowanie połączeń z Internetu do serwera. Ruch powrotny jest obsługiwany przez wcześniejszą regułę ESTABLISHED,RELATED.

Testowanie: curl z lokalnego hosta lub z zewnątrz na adres publiczny routera. W przeglądarce powinna otworzyć się strona z serwera wewnętrznego.

Kompletna konfiguracja FORWARD dla routera z NAT i port forwardingiem. Kolejność reguł ma znaczenie: najpierw INVALID, potem ESTABLISHED,RELATED, a na końcu selektywne reguły dla NEW.

Reguła dla ruchu LAN (192.168.1.0/24) pozwala hostom wewnętrznym inicjować połączenia do Internetu. Reguła dla DNAT (do 192.168.1.10:80) pozwala na dostęp do serwera WWW z zewnątrz.

Polityka domyślna DROP zapewnia, że każdy niedozwolony jawnie ruch jest blokowany. Audyt reguł przez iptables -L FORWARD -n -v pozwala sprawdzić liczniki pakietów.

To jest kompletny skrypt konfiguracyjny routera Linux z NAT i port forwardingiem. Obejmuje włączenie routingu, ustawienie polityk, reguły INPUT dla ochrony routera i FORWARD dla ruchu tranzytowego.

Reguły INPUT zezwalają na SSH tylko z sieci administracyjnej (10.0.0.0/8), chroniąc router przed nieautoryzowanym dostępem. Loopback i ESTABLISHED,RELATED są zawsze akceptowane.

Po skonfigurowaniu reguł należy je zapisać (iptables-save), aby przetrwały restart. Weryfikacja przez iptables -nL -v i iptables -t nat -L -n -v.

Najczęstszym błędem jest brak zapisania reguł po skonfigurowaniu firewalla. Po restarcie systemu wszystkie reguły znikają, a serwer zostaje bez ochrony lub NAT przestaje działać. Zawsze wykonuj iptables-save po każdej zmianie.

Kolejność reguł ma krytyczne znaczenie. Jeśli reguła DROP znajdzie się przed regułą ACCEPT dla tego samego ruchu, pakiet zostanie odrzucony. Zawsze umieszczaj reguły zezwalające przed blokującymi.

Brak ip_forward to trzeci najczęstszy problem. Nawet z poprawnymi regułami NAT, bez forwardingu pakiety nie będą przekazywane między interfejsami. Zawsze sprawdzaj sysctl net.ipv4.ip_forward.

tcpdump to podstawowe narzędzie do debugowania problemów z firewallem i NAT. Pozwala sprawdzić, czy pakiety docierają do interfejsu, czy są przekazywane i czy opuszczają system.

Porównanie ruchu na interfejsie zewnętrznym (eth0) i wewnętrznym (eth1) pozwala zlokalizować problem. Jeśli pakiet dociera do eth0, ale nie pojawia się na eth1, problem leży w regułach FORWARD lub NAT.

Zapis do pliku pcap umożliwia późniejszą szczegółową analizę w Wireshark. conntrack -L pokazuje aktywną tablicę translacji – jeśli wpis nie istnieje, NAT nie zadziałał.

Target LOG w iptables zapisuje informacje o dopasowanych pakietach do syslog bez wpływania na ich dalszy los. Jest to niezbędne narzędzie do debugowania, pozwalające sprawdzić, które reguły są dopasowywane.

Opcja --log-prefix dodaje identyfikator ułatwiający filtrowanie logów. Poziomy logowania (--log-level) od 0 (emerg) do 7 (debug) pozwalają kontrolować ilość informacji.

Liczniki w iptables -L -n -v pokazują ile pakietów dopasowało każdą regułę. Jeśli licznik dla reguły ACCEPT wynosi 0, a ruch nie działa, problem leży gdzie indziej.

Brak Internetu z LAN to najczęstszy problem. Sprawdź sysctl net.ipv4.ip_forward (musi być 1), reguły FORWARD (czy zezwalają na ruch z LAN) i regułę MASQUERADE w POSTROUTING.

Przekierowanie portów wymaga trzech elementów: DNAT w PREROUTING, reguły FORWARD dla NEW do serwera i reguły ESTABLISHED,RELATED dla ruchu powrotnego. Brak któregokolwiek powoduje niedziałanie usługi.

Problem z MTU/MSS objawia się nieładowaniem niektórych stron (szczególnie z obrazkami). Rozwiązaniem jest dodanie reguły TCPMSS clamp-mss-to-pmtu w FORWARD, która dostosowuje MSS do MTU ścieżki.

iptables -L -n -v to najważniejsze polecenie do przeglądu reguł. Opcja -n wyłącza rozwiązywanie DNS (przyspiesza), -v pokazuje liczniki pakietów i bajtów. Dla tabeli NAT dodaj -t nat.

iptables-save i iptables-restore służą do zapisu i przywracania reguł. Zawsze wykonuj iptables-save po każdej zmianie, aby reguły przetrwały restart. W Debianie/Ubuntu pakiet iptables-persistent automatyzuje ten proces.

Dla nftables kluczowe jest nft list ruleset, które wyświetla całą konfigurację. Polecenie iptables-translate pomaga przy migracji z iptables na nftables.

Dziękujemy za uwagę poświęconą jedenastej części cyklu Administracja Sieci Komputerowych. Materiał ten stanowi solidną podstawę do samodzielnej konfiguracji i utrzymania zapory sieciowej oraz NAT w systemie Linux w środowisku produkcyjnym.

Zachęcamy do praktycznego wykorzystania zdobytej wiedzy poprzez samodzielną konfigurację routera Linux na maszynie wirtualnej. Eksperymenty z różnymi konfiguracjami NAT, testowanie reguł i debugowanie tcpdump pozwolą utrwalić wiedzę i rozwinąć praktyczne umiejętności.

W kolejnych częściach cyklu omówione zostaną zagadnienia zaawansowanego routingu, sieci VPN site-to-site oraz monitorowania ruchu sieciowego z wykorzystaniem narzędzi takich jak ntopng, NetFlow i sFlow.