Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

9.10 Masquerading und NAT

Das Maskieren von Paketen findet im Kernel der LINUX Firewall statt. Sämtliche Adressen, die im Intranet verwendet werden, werden beim Forwarding mit der IP - Nummer der Firewall selber versehen. Sie erhalten die IP-Adresse von dem Netzwerkinterface EXTERNES_INTERFACE. Hierzu baut die Firewall eine Tabelle aller aktiven Verbindungen Internet Hosts in das Internet auf. Zurückkommende Pakete können somit den Hosts im Intranet korrekt zugeordnet werden. Masquerading ist ähnlich NAT (Network Address Translation). Der Unterschied liegt nur darin, daß bei NAT m interne IP - Nummern n externen IP - Nummern zugeordnet werden (wobei n kleiner als m). Bei Masquerading ist nur m=1 zugelassen, d.h. n interne Netzwerknummern werden auf 1 externe IP-Nummer abgebildet. NAT Patches für die Kernel 2.0 und 2.2 sind aber im Internet verfügbar. Da masquerading im Kernel bei dem forwarding-Code stattfindet, liegt es nahe, das Masquerading bei den forwarding Regeln zu aktivieren. Für Masquerading gibt es im LINUX Kernel zahlreiche PROXY´s, die spezielle Protokolle implementiert haben, z.B. den PASV Mechanismus bei FTP. Alle NAT Implementierungen unter LINUX können nicht mit diesen Proxy´s zusammen betrieben werden, daher funktionieren einige Protokolle nur eingeschränkt (PASV FTP, CUSEEME, QUAKE). Der transparente Proxy funktioniert allerdings auch mit NAT, was bedeutet, daß alle TELNET basierten Protokolle ohne Probleme funktionieren.

Forwarding von Paketen von LOKALES_INTERFACE an EXTERNES_INTERFACE
ipfwadm -F -a -W $EXTERNES_INTERFACE -S $INTRANET

Es muß nur das Wörtchen masquerade eingefügt werden ! So einfach kann die Welt sein:

Forwarding von Paketen von LOKALES_INTERFACE an EXTERNES_INTERFACE mit masquerading
ipfwadm -F -a masquerade -W $EXTERNES_INTERFACE -S $INTRANET

Fertig ist die neue masquerading Regel !

Während die ersten 3 Zeilen die Regeln für Input, Output und Forwarding listen (-l), ist die letzte Zeile für das Accounting zuständig, also dem Zählen von Paketen, um z.B. festzustellen, welcher Host viel surft. Wer DHCP im Einsatz hat, der sollte dafür sorgen, daß MAC Adressen festen IP - Nummern zugewiesen werden...


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING