2.0 系(ipfwadm)から 2.2 系(ipchains)への移行の後遺症を未だ抱えている方 には申し訳ありませんが、良いニュースと悪いニュースがあります。
まず第一に、これまで通り ipchains と ipfwadm をそのまま使えます。 そうするには、最新の netfilter ディストリビューションの中の、ipchains.o もしくは ipfwadm.o カーネルモジュールを組み込む必要があります。 これら二つのモジュールは(知っての通り)互いに排他的なので、 他のいかなる netfilter モジュールとも一緒に使うべきではありません。
一旦モジュールが組み込まれれば、これまで通り ipchains や ipfwadm を利用 できますが、以下の相違点があります:
ハッカーの人達は以下のことにも注意してください:
これこそ大部分の人が求めるものでしょう。もし PPP ダイヤルアップで動的に IP アドレスを割り当てられているのでしたら(分からないとしても、 あなたのはそうなっています)、内部ネットワークからの全てのパケットが、 PPP ダイヤルアップボックスからのパケットであるかのようにしたいのです。
# Load the NAT module (this pulls in all the others).
modprobe iptable_nat
# In the NAT table (-t nat), Append a rule (-A) after routing
# (POSTROUTING) for all packets going out ppp0 (-o ppp0) which says to
# MASQUERADE the connection (-j MASQUERADE).
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
ここでは全くパケットをフィルタリングしてないことに注意してください。 パケットフィルタリングに関しては、Packet Filtering HOWTO の中の、 「Mixing NAT and Packet Filtering(NAT とパケットフィルタリングの混合)」を参照してください。
これはずっと範囲の狭いユーザベースのためのものなので、 他の機能と同じほどには下位互換性を気にかけていませんでした。 ポートフォワーディングをやるなら、`iptables -t nat' でだってできます。 ですから例えば Linux カーネル 2.2 系でやってきた:
# Linux 2.2
# Forward TCP packets going to port 8080 on 1.2.3.4 to 192.168.1.1's port 80
ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80
の代わりに今なら:
# Linux 2.4
# Append a rule before routing (-A PREROUTING) to the NAT table (-t nat) that
# TCP packets (-p tcp) going to 1.2.3.4 (-d 1.2.3.4) port 8080 (--dport 8080)
# have their destination mapped (-j DNAT) to 192.168.1.1, port 80
# (--to 192.168.1.1:80).
iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 \
-j DNAT --to 192.168.1.1:80