„IP-Weiterleitung“ ist ein Synonym für „Routing“. Es wird "Kernel-IP-Weiterleitung" genannt, weil es eine Funktion des Linux-Kernels ist.
Ein Router hat mehrere Netzwerkschnittstellen. Wenn auf einer Schnittstelle Datenverkehr eingeht, der mit einem Subnetz einer anderen Netzwerkschnittstelle übereinstimmt, leitet ein Router diesen Datenverkehr an die andere Netzwerkschnittstelle weiter.
Angenommen, Sie haben zwei NICs, eine (NIC 1) hat die Adresse 192.168.2.1/24 und die andere (NIC 2) die Adresse 192.168.3.1/24. Wenn die Weiterleitung aktiviert ist und ein Paket auf NIC 1 mit einer "Zieladresse" von 192.168.3.8 eingeht, sendet der Router dieses Paket erneut aus NIC 2 heraus.
Es ist üblich, dass Router, die als Gateways zum Internet fungieren, eine Standardroute haben, bei der jeglicher Datenverkehr, der keiner Netzwerkkarte entspricht, durch die Netzwerkkarte der Standardroute geleitet wird. Wenn Sie also im obigen Beispiel eine Internetverbindung auf NIC 2 haben, würden Sie NIC 2 als Ihre Standardroute festlegen, und dann wird jeglicher Datenverkehr von NIC 1, der nicht für etwas auf 192.168.2.0/24 bestimmt ist, weitergeleitet durch NIC 2. Hoffentlich gibt es andere Router hinter NIC 2, die es weiterleiten können (im Fall des Internets wäre der nächste Hop der Router Ihres ISP und dann der Upstream-Router seines Anbieters usw.)
Aktivieren von ip_forward weist Ihr Linux-System an, dies zu tun. Damit es sinnvoll ist, benötigen Sie zwei Netzwerkschnittstellen (zwei oder mehr kabelgebundene NIC-Karten, WLAN-Karten oder Chipsätze, PPP-Verbindungen über ein 56k-Modem oder seriell usw.).
Beim Routing ist Sicherheit wichtig, und hier kommt der Paketfilter von Linux zum Einsatz, iptables , mischt sich ein. Sie benötigen also einen iptables Konfiguration entsprechend Ihren Anforderungen.
Beachten Sie, dass Sie die Weiterleitung mit iptables aktivieren deaktiviert und/oder ohne Berücksichtigung von Firewalls und Sicherheit könnten Sie Schwachstellen ausgesetzt sein, wenn eine der NICs mit dem Internet oder einem Subnetz verbunden ist, über das Sie keine Kontrolle haben.
Wenn aktiviert, ermöglicht „IP-Weiterleitung“ einem Linux-Rechner, eingehende Pakete zu empfangen und weiterzuleiten. Auf einem Linux-Rechner, der als normaler Host fungiert, müsste die IP-Weiterleitung nicht aktiviert sein, da er nur IP-Verkehr für seine eigenen Zwecke (d. h. die Zwecke seines Benutzers) generiert und empfängt.
Es gibt jedoch Fälle, in denen die IP-Weiterleitung nützlich ist:1. Wir möchten, dass unsere Maschine als Router fungiert, Pakete von anderen Hosts empfängt und sie an ihr Ziel weiterleitet.2. Wir sind Bösewichte und wollen uns bei einem sogenannten "Man-in-the-Middle-Angriff" als eine andere Maschine ausgeben. In diesem Fall möchten wir den gesamten an das Opfer gerichteten Datenverkehr abfangen und sehen, aber wir möchten diesen Datenverkehr auch an sie weiterleiten, damit sie unsere Anwesenheit nicht „spürt“.