IP伪装 – 只是为了电子邮件？

IP Masquerade是一个安全function，出于这个原因：一般情况下，任何IP地址被防火墙或路由器伪装的机器都无法从公网访问。 如果你有一个运行IP Masquerade的防火墙，其中有15个客户端PC，使用这个盒子作为Internet的path，那么没有互联网主机可以直接创build一个新的IP连接到这15个盒子中的任何一个。 十五台客户端PC可以创build到Internet的出站连接，但互联网上没有人可以直接连接到其中一台PC。

这就是所谓的“伪装”，因为对于外界来说，看起来只有一台用户数量较多的计算机。 也就是说，通过IP Masquerade连接到Google的用户将会出现在Google上 – 来自Masquerading框。

IP Masquerade本身可以抵御各种各样的攻击。 但是，有很多攻击根本无法防范，比如木马或者被攻击的本地局域网上的另一台PC。 IP伪装通常可用作更大安全计划的一个组成部分。

IP伪装是什么让你共享一个公共IP地址的networking中的许多计算机。 所有路由器通常在WAN和LAN端口之间默认执行此操作。

在Linux中，它是由iptables命令pipe理的Netfilter系统完成的。 这个系统还pipe理防火墙过滤规则（例如：阻止到端口80的传入stream量），这确实更关系到安全性。

http://tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html

IP Masq是networking地址转换（NAT）的一种forms。 它是NAT，允许您在家中或企业中使用192.168.0.0/16地址，而只有一个或几个实际可路由的IP地址。 IPv4互联网如何运作是至关重要的。 所有消费级别的家庭路由器都支持这一点，Linux内核已经支持了很长一段时间（可能早在1.3版本的内核中）

至于其作为安全特征的angular色，还有一些争论。 PCI-DSS标准（信用卡行业）要求其使用，因此在这种情况下，它被视为一种安全function。

IP Masqerade不适用于电子邮件。 除了您的ISP的电子邮件中继，许多服务器将拒绝接受您的电子邮件。 传入的电子邮件不适用于IP Masqerage，尽pipe您可以使用电子邮件客户端连接到POP或IMAP服务器。 您可以在执行伪装的服务器上运行电子邮件服务器，也可以使用DNAT（目标networking地址转换）将每个外部地址转发到单个内部电子邮件服务器。

IP Masqerade是SNAT（源networking地址转换）的一种forms。 这是一个安全function，因为它强制从互联网或其他外部networkingdefuly拒绝政策。 IP Masquerade不提供进入被伪装服务器的进入路由。 这防止使用传入连接的访问​​向量。 任何传入的访问需要被configuration为DNAT规则或通过协议助手的exception，如同用来允许完整的FTPfunction。

IP Masquerade通常用于在局域网上启用专用DNS区域，同时允许访问Internet。 这些通常在192.168.0.0/16和10.0.0.0/8块中，但也包括172.16.0.0/12块。 IP Masquade将适用于其他区块，但是这只能在转换到私人区块时完成。 私有范围提供了一些安全性，因为它们不应该在任何边界交换机的外部接口上被路由。

IP Masquerade应与适当的防火墙规则相结合，以限制用于访问Internet的协议。