Wydział Informatyki 
Laboratorium Sieci Komputerowych 

Data: 
24.04.2014r. 
PS 2 

Temat:  7. Maskarada i Firewall w 
Linuxie. 
Zespół:  

1.  Patrycja Manias 
2.  Eryk Rutkowski 
3.  Michał Gołdych 

Prowadzący: 
dr Walenty Oniszczuk 

 

 

1.  Treść zadania do wykonania 

Aby wykonać zadanie należało:  
1. Podłączyć trzy komputery do switcha, gdzie jeden z nich pełnił rolę bramy 
dostępowej, a dwa pozostałe klientów. 
2. Skonfigurować ustawienia IP dla bramy oraz klientów. 
3. Utworzyć plik "maskarada" na bramie oraz nadać mu prawa do wykonania. 
4. Sprawdzić łączność klientów i bramy między sobą. 
5. Sprawdzić działanie sieci z różnymi ustawieniami (blokowanie całego ruchu lub 
dostępu do wybranych witryn) 

 

2.  Teoria 

 

NAT (skr. od ang. Network Address Translation, tłumaczenie adresów sieciowych; 

czasem Native Address Translation, tłumaczenie adresów rodzimych), znane również jako 
maskarada sieci lub IP (od ang. network/IP masquerading) – technika przesyłania ruchu 
sieciowego poprzez router, która wiąże się ze zmianą źródłowych lub docelowych adresów 
IP, zwykle również numerów portów TCP/UDP pakietów IP podczas ich przepływu. 
Zmieniane są także sumy kontrolne (tak IP jak i TCP/UDP), aby potwierdzić wprowadzone 
zmiany. 
 

Większość systemów korzystających z NAT ma na celu umożliwienie dostępu wielu 

hostom w sieci prywatnej do Internetu przy wykorzystaniu pojedynczego publicznego 
adresu IP. Niemniej NAT może spowodować komplikacje w komunikacji między hostami i 
może mieć pewien wpływ na osiągi. 
 

Wraz ze wzrostem liczby komputerów w Internecie, zaczęła zbliżać się groźba 

wyczerpania puli dostępnych adresów internetowych IPv4. Aby temu zaradzić, lokalne sieci 
komputerowe, korzystające z tzw. adresów prywatnych (specjalna pula adresów tylko dla sieci 
lokalnych), mogą zostać podłączone do Internetu przez jeden komputer (lub router), 
posiadający mniej adresów internetowych niż komputerów w tej sieci. 
 

Router ten, gdy komputery z sieci lokalnej komunikują się ze światem, dynamicznie 

tłumaczy adresy prywatne na adresy zewnętrzne, umożliwiając użytkowanie Internetu przez 
większą liczbę komputerów niż posiadana liczba adresów zewnętrznych. NAT jest często 
stosowany w sieciach korporacyjnych (w połączeniu z proxy) oraz sieciach osiedlowych. 
 

Zapora sieciowa (ang. firewall) – jeden ze sposobów zabezpieczania sieci i systemów 

przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu 
komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania 
blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia 
ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. 

sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci 
lokalnej na zewnątrz. Często jest to komputer wyposażony w system operacyjny z 
odpowiednim oprogramowaniem. Do jego podstawowych zadań należy filtrowanie 
połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu 
uznanych za niebezpieczne. 

3.  Realizacja zadania 

 

 

Po podłączeniu komputerów do switch’a, dwóch komputerów jako klientów i 
jednego jako bramy dostępowej, przystąpiliśmy do konfiguracji adresów IP. 
 
Brama zewnętrzna: ifconfig eth0 10.64.104.6/24  
Brama wewnętrzna: ifconfig eth1 192.168.10.10/24  
Klient I: ifconfig eth1 192.168.10.20/24  
Klient II: ifconfig eth1 192.168.10.30/24 
 
Wszystkie urządzenia widziały się nawzajem i pingowały. Poniżej przedstawiamy 
odczyt pingowania jednego z klientów: 
 

 

 
Następnym naszym krokiem, było utworzenie pliku maskarady (nazwaliśmy go 
„masq”) oraz zmiana jego zawartości przy użyciu odpowiednich poleceń: 
 

Włączenie forwardowania pakietów: 

 

echo 1 > /proc/sys/net/ipv4/ip_forward

  

 

 

Wyzerowanie tablic iptables odpowiedzialnych za NAT i za filtrowanie pakietów: 

 

/sbin/iptables -F -t nat 

 

/sbin/iptables -X -t nat 

 

/sbin/iptables -F -t filter 

 

/sbin/iptables -X -t filter 

 
 

Domyślnie odrzucamy i nie zezwalany na forwardowanie pakietów: 

 

/sbin/iptables -t filter -P FORWARD DROP 

 
 

Zezwalamy na by serwer przepuszczał pakiety które pochodzą z naszej  sieci  

lokalnej lub są dla niej przeznaczone: 

 

/sbin/iptables -t filter -A FORWARD -s 192.168.10.0/255.255.255.0 -d   0/0 -j ACCEPT 

 
 

/sbin/iptables -t filter -A FORWARD -s 0/0 -d  192.168.10.0/255.255.255.0 -j ACCEPT 

 

 

 

Teraz nakazujemy by wszystkie pakiety pochodzące z LAN-u były  maskowane: 

 

 

/sbin/iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -d 0/0 -j  

MASQUERADE 

 

 

 

Odblokowujemy port, który używany jest przez serwery DNS: 

 

 

/sbin/iptables -A OUTPUT -p udp --dport 53 -j ACCEPT 

 

/sbin/iptables -A INPUT -p udp --sport 53 -j ACCEPT 

 
 

Następnym krokiem była konfiguracja Firewalle’a: 

Na początku zablokowaliśmy cały ruch w sieci: 

/sbin/iptables –P FORWARD ACCEPT  
iptables –A INPUT DROP  
iptables –A OUTPUT DROP 
 
Następnie odblokowaliśmy ruch dla serwera  www.onet.pl: 

 

 
Wszystkie komputery mogły łączyć się tylko z tą witryną. 
 
Kolejnym krokiem było zablokowanie tylko serwera  www.onet.pl: 
 

 

 

Następnie zablokowaliśmy cały ruch dla klientów: 
 

 

 
Odblokowaliśmy pingi: 
 

 

 
Odblokowaliśmy przeglądanie stron dla klientów: 

 

 
Spingowaliśmy stronę www.wp.pl: 
 

 

 
Odblokowaliśmy onet.pl dla drugiego klienta: 

 

 
4. Podsumowanie 
  
 Po wykonaniu wszystkich zadań uzyskaliśmy skonfigurowaną maskaradę wraz z 
firewallem, która była w stanie przekierowywać ruch sieciowy oraz wybrane porty. Dzięki 
zajęciom zaznajomiliśmy również z ledwie niewielką częścią narzędzia iptables, które jest 
niezastąpione w przypadku budowy, konfiguracji sieci oraz oferuje nieskończenie wiele 
możliwości, które ułatwiają życie administratorom.