iptables SNAT / DNAT(ポストルート/フリールート)ルールに対して "ip_forward"を有効にする必要がありますか?

iptables SNAT / DNAT(ポストルート/フリールート)ルールに対して "ip_forward"を有効にする必要がありますか?

ip_forward以前は、iptablesSNAT / DNATルールを正常に実行するためにカーネルパラメータを有効にする必要があったことを思い出してください。

今日、私は次の記事を読んだ。http://blogs.aws.amazon.com/security/post/TxFRX7UFUIT2GD/How-to-Add-DNS-Filtering-to-Your-NAT-Instance-with-Squid

上記の投稿者によると、IP転送を有効にしたりFORWARDルールを追加したりする必要はありません。。上の記事で太字で検索してください。

その後、作成者は2つのiptablesルールを構成しますprerouting (DNAT)

質問:それでは、これはpostrouting/prerouting(DNAT / SNAT)がなくても機能できることを意味しますか?ip_forward?それともここで明確なものを見逃していますか?

答え1

引用する

デフォルトでは、LinuxカーネルのIPv4ポリシーはIP転送サポートを無効にします。これにより、Linuxを実行しているコンピュータが専用エッジルーターとして機能するのを防ぎます。

PREROUTINGポート80をアクティブでないVMにリダイレクトすることをテストしましたが、ip_forward成功しませんでした。正常にアクティブになったらip_forward。私のビューでは、ip_forwardingこのサービスにはこのオプションを有効にするDNAT/SNAT必要があります。

もっと見るここ

関連情報