A maioria dos ISPs oferecem somente um número limitado de endereços IP rotáveis publicamente para as organizações que eles servem.
Os administradores devem portanto, encontrar formas alternativas de compartilhar acesso aos serviços de Internet sem disponibilizar os endereços IP públicos a todos os nós da LAN. Usar endereços IP privados é a forma mais comum de permitir que todos os nós em uma LAN acessem devidamente serviços de rede internos e externos.
Roteadores de borda (tais como os firewalls) podem receber transmissões de entrada da Internet e rotear os pacotes aos nós de LAN previstos. Da mesma forma, os firewalls/gateways podem também rotear solicitações de saída de um nó de LAN ao serviço de Internet remoto.
Este envio de trânsito de rede pode, muitas vezes, se tornar perigoso, especialmente com a disponibilidade de ferramentas modernas de quebra, que podem falsificar os endereços IP internos e fazer com que a máquina do atacante remoto aja como um nó em sua LAN.
Para evitar que isto aconteça, o comando iptables oferece um roteamento e envio de políticas que podem ser implementadas para evitar uso anormal de recursos de rede.
A norma FORWARD permite que um administrador controle onde os pacotes podem ser roteados em uma LAN. Por exemplo: para permitir o encaminhamento para a LAN inteira (assumindo que o firewall/porta de comunicação tenha um endereço IP interno na eth 1), as seguintes regras podem ser definidas:
[root@myServer ~ ] # iptables -A FORWARD -i eth1 -j ACCEPT [root@myServer ~ ] # iptables -A FORWARD -o eth1 -j ACCEPT
Essa regra da acesso para a rede interna aos sistemas por trás do firewall/porta de comunicação. A porta de comuncação roteia os pacotes de um nódulo da LAN para o seu nódulo pretendido, passando todos os pacotes através de seu dispositivo eth1.
Por padrão, a norma IPV4 nos kernels do Red Hat Enterprise Linux desabilita o suporte para encaminhamento do IP, o que evita que caixas rodando o Red Hat Enterprise Linux funcionem como roteadores de borda dedicados. Para habilitar o encaminhamento do IP, execute o seguinte comando:
[root@myServer ~ ] # sysctl -w net.ipv4.ip_forward=1
A mudança desta configuração é válida somente para sessões atuais, ela não persiste além de um reboot ou uma reinicialização de serviço de rede. Para ajustar permanentemente o envio de IP, edite o arquivo /etc/sysctl.conf como se segue:
Localize a seguinte linha:
net.ipv4.ip_forward = 0
Edite-a para ler como se segue:
net.ipv4.ip_forward = 1
Execute o seguinte comando para ativar a alteração do arquivo sysctl.conf:
[root@myServer ~ ] # sysctl -p /etc/sysctl.conf