Linux IP Masquerading HOWTO: Hintergrund Wissen

IP-Masquerading ist eine Netzwerkfunktion unter Linux, ähnlich der eine-zu-vielen Übersetzungen von Netzwerkadressen, die häufig in kommerziellen Firewalls und Netzwerkroutern anzutreffen sind. Wenn, zum Beispiel, ein Linux-Host mittels PPP, Ethernet, etc. mit dem Internet verbunden ist, erlaubt die Masquerading-Funktion anderen, intern mit dem Linux-Rechner verbundenen, Computern die Nutzung des Internet. Masquerading bietet diese Funktionalität sogar, wenn die internen Maschinen keine offiziell zugeteilten Internet-IP-Adressen haben.

IP-Masq erlaubt einem ganzen Satz von Maschinen unsichtbares betreten des Internet, versteckt hinter einem Gateway-System, welches nach außen hin als ein einzelnes System erscheint. Hinzu kommt, daß Masquerading die Grundlage für eine sehr sichere Netzwerkumgebung bereitstellt. Zusammen mit einem gut aufgebauten Firewall sollte ein Einbruch in das System und interne LAN äußerst schwerfallen.

2.2 Aktueller Stand

IP-Masquerading ist schon vor etlichen Jahren erschienen und mit dem Eintritt des Linux-Kerns ins Stadium 2.2.x gründlich ausgereift. Linux-Betriebssystemkerne ab der Version 1.3.x hatten die Unterstützung bereits eingebunden. Heute nutzen es viele Anwender privat und sogar wirtschaftlich mit ausgezeichneten Ergebnissen.

Verbreitete Internetnutzung wie Websurfen, TELNET, PING, TRACEROUTE, etc. laufen einwandfrei, andere Kommunikationsprogramme wie FTP, IRC und Real-Audio funktionieren ebenfalls gut, benötigen aber die Aktivierung jeweiliger IP-Masq-Module. Audio-Netzwerkanwendungen(MP3, True Speech, etc.) arbeiten auch. Einige Benutzer in der Mailingliste hatten sogar schon gute Ergebnisse mit Videokonferenzprogrammen. Vollständigere Angaben bietet die Sektion Unterstützte Client-Software.

Masquerading arbeitet gut als Server mit »Client-Maschinen« zusammen, die auch andere Betriebsysteme und Hardwareplattformen fahren. Es gibt erfolgreiche Fälle mit folgenden maskierten, internen Systemen:

Unix: Sun Solaris, *BSD, Linux, Digital UNIX, etc.
Microsoft Windows 95/98/ME, Windows NT, Windows 2000 und Windows for Workgroups(mit TCP/IP-Paket)
IBM OS/2
Apple Macintosh MacOS Computer mit MacTCP oder Open Transport
DOS-basierte Systeme mit Paket-Treiber und dem NCSA Telnet Paket
VAXen
Compaq/Digital-Alpha unter Linux oder NT
Selbst Amiga Computer mit AmiTCP oder AS225-Stack.

Die Liste geht weiter und weiter, der Punkt ist, wenn Ihr Betriebsystem mittels TCP/IP kommuniziert, sollten Sie auch IP-Masquerading nutzen können!

2.3 Wie funktioniert IP-Masquerading?

Ein Beispiel einer einfachen Einrichtung aus der original IP-Masquerading-FAQ von Ken Eves:



SLIP/PPP         +------------+                       +-------------+
zum IS-Provider  |  Linux-    |       SLIP/PPP        | Surfer      |
<----------Modem1| System     |Modem2 --------- Modem3|             |
 111.222.333.444 |            |         192.168.0.100 |             |
                 +------------+                       +-------------+

Im oberen Diagramm ist ein Linux-System mit installiertem und laufendem IP-Masquerading mittels SLIP oder PPP über Modem1 ans Internet angeschlossen. Es hat die registrierte, öffentliche Adresse 111.222.333.444. Es ist so eingerichtet, daß Modem2 eine Einwahl der Anrufer erlaubt und daraufhin automatisch eine SLIP- oder PPP-Verbindung ins Internet startet. Der Rechner Surfer(er muß nicht unbedingt Linux laufen haben) wählt sich in das Linux-System ein und startet eine SLIP- oder PPP-Verbindung. Er hat keine öffentliche, registrierte IP-Adresse, so benutzt er die private Adresse 192.168.0.100(siehe weiter unten für mehr Informationen über private Adressbereiche). Mit Masquerading und korrekt konfiguriertem Routing kann die Maschine Surfer mit dem Internet interagieren, so als wäre sie direkt mit ihm verbunden.

Das Folgende ist ein Ausschnitt aus einer Nachricht auf comp.os.linux.networking, welcher das oben aufgeführte Beispiel verdeutlichen soll:

Ich bringe Surfer bei, daß das Linux-System sein Gateway ist.
Wenn ein Paket von Surfer in das Linux-System eintrifft, wird das System ihm eine neue Portnummer zuweisen, und im Paket-Header die IP-Adresse auf seine eigene, öffentlich registrierte eintauschen. Die Originalnummern werden dabei lokal gespeichert. Danach wird es das modifizierte Paket über die SLIP/PPP-Schnittstelle zum Internet senden.
Wenn ein Paket aus dem Internet in das Linux-System eintrifft, wird es die Portnummer überprüfen. Ist die Portnummer eine von den vorher zugeordneten, werden dem Paket die original Port- und IP-Adressen eingesetzt. Danach sendet es das Paket an Surfer.
Der Host im Internet, der das Paket abschickte, wird den Unterschied niemals erfahren.

Ein anderes Beispiel von IP-Masquerading:

Ein typisches Beispiel zeigt das Diagramm unten:



   +----------+
   |          |  Ethernet
   | A        |::::::
   |          |.2   : 192.168.0.x
   +----------+     :
                    :      +----------+   PPP-
   +----------+     :   .1 |  Linux   |   Verbindung
   |          |     :::::::| Masq-Gate|:::::::::::::::::::// Internet
   | B        |::::::      |          |  111.222.333.444
   |          |.3   :      +----------+
   +----------+     :
                    :
   +----------+     :
   |          |     :
   | C        |::::::
   |          |.4
   +----------+

   |                       |          |
   |<- Internes Netzwerk-->|          |<- Externes Netzwerk ---->
   |                       |          |

Die Abbildung zeigt vier untereinander vernetzte Computer. Außerdem einen Server bei Ihrem Provider, der die PPP-Verbindung zum Internet bereitstellt, und dann gibt es noch einen Host irgendwo im Internet mit dem Sie kommunizieren wollen. Das Linux-System Masq-Gate ist der Masquerading-Gateway zum Internet für alle internen Netzwerkcomputer A, B und C. Die internen Adressen sind gemäß der RFC-1918 Assigned Private Network Addresses zugeteilt, wobei es in diesem Fall ein Klasse-C-Netzwerk mit der Netznummer 192.168.0.0 ist. Der Linux-Gateway hat die TCP/IP-Addresse 192.168.0.1 und die anderen Rechner wie folgt:

A: 192.168.0.2
B: 192.168.0.3
C: 192.168.0.4

Die drei Maschinen A, B und C können jedes beliebige Betriebsystem laufen haben solange es nur TCP/IP versteht. Betriebsysteme wie Windows 98, Macintosh MacTCP oder OpenTransport oder eben ein anderes Linux-System können Verbindungen mit Maschinen im Internet aufbauen. Beim Betrieb konvertiert das Masq-System oder hier Masq-Gate alle ausgehenden Verbindungen, so daß sie von Masq-Gate selbst zu stammen scheinen. Zurückkommende Daten werden von Masq-Gate auch umkonvertiert und zu dem internen Computer geschickt, der sie angefordert hat. Auf diese Weise bekommen die Computer im Netzwerk eine Route zum Internet und erfahren nicht, daß ihre Daten maskiert werden. Es ist eine transparente Verbindung.

2.4 Anforderungen für IP-Masquerading unter Linux 2.0.x

Natürlich die nötige Hardware. Mehr Details hinzu finden Sie in der FAQ-Hardware.
Den 2.0.x Kern-Quellcode erhältlich von http://www.kernel.org/. (Die meisten modernen Linux-Distributionen mit Masq-Unterstützung, wie Redhat 5.2, 6.0, SuSE 5.3, 6.4 und höher besitzen modulare Kerne mit voreinkompilierten Masquerading-Optionen. In solchen Fällen ist es nicht nötig, einen neuen Kern zu erstellen. Wenn Sie jedoch ein Upgrade Ihres Kerns vornehmen, sollten Sie sicherstellen, daß auch die benötigten Programme auf den entsprechend aktuellen Stand gebracht werden(dieses wird später noch angesprochen)). Wie Sie einen neuen Kern konfigurieren, kompilieren und installieren steht in der Linux Kernel HOWTO
Ein funktionierendes TCP/IP-Netzwerk oder LAN. Die Einrichtung ist ausführlich in den Linux NET-3 HOWTO und Network Administrator's Guide beschrieben.
Internetanschluß für Ihren Linux-Host. Die Einrichtung wird in folgenden Dokumenten behandelt: Linux ISP Verbindung HOWTO, Linux PPP HOWTO.
Ipfwadm 2.3 oder höher erhältlich von ftp.xos.nl:/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz (höchstwahrscheinlich werden Sie dieses Programm bereits haben).
Je nach Bedarf können mit verschiedenen, optionalen Masquerading-Patchen auch folgende andere Funktionen aktiviert werden:
- TCP/IP-Portumleiter. Diese Werkzeuge erlauben die Nutzung einiger, nicht direkt Unterstützter Netzwerkprogramme hinter einem Masq-Server. Außerdem kann der Masq-Server so konfiguriert werden, daß externe Internetbenutzer auf netzwerkinterne Maschinen mittels WWW, TELNET, SMTP, FTP (mit einem Patch) zugreifen können. Die Portumleiter Sektion dieser HOWTO bietet Informationen zum Thema, das zugehörige Programm IP PortForwarding(IPPORTFW) finden Sie über den Link.
- FTP mittels Portumleitung (Port Forwarding). Wenn Sie die netzinternen Maschinen als FTP-Server nutzen wollen, benötigen Sie den Fred Viles`s FTP-Server-Patch(explizite Details zur Anwendung vermittelt die Portumleiter Sektion dieser HOWTO).
- X-WINDOWS Display-Umleiter.
- Patche für Spiele. Glenn LambsLoose UDP-Patch für 2.0.36+. Genauere Angaben entnehmen Sie bitte der Sektion Spiele-Clients. Besuchen Sie Dan Kegels NAT-Seite.

2.5 Anforderungen für IP-Masquerading unter Linux 2.2.x

Den 2.2.x Kern-Quellcode erhältlich von http://www.kernel.org/.
Ladbare Kernmodule, ab Version 2.1.121 oder höher, erhältlich von http://www.pi.se/blox/modules/. Die meisten Distributoren haben hier schon vorgesorgt.
Ein funktionierendes TCP/IP-Netzwerk oder LAN. Die Einrichtung ist ausführlich in den Linux NET 3 HOWTO und Network Administrator's Guide beschrieben.
Internetanschluß für Ihren Linux-Host. Die Einrichtung wird in folgenden Dokumenten behandelt: Linux ISP-Verbindung HOWTO, Linux PPP HOWTO.
IPCHAINS 1.3.8 oder höher erhältlich von http://netfilter.filewatcher.org/ipchains/, höchstwahrscheinlich werden Sie dieses Programm bereits haben, denn es gehört zum Standartumfang.
Für andere Funktionalitäten können verschiedene, optionale Masquerading-Werkzeuge bezogen und genutzt werden wie zum Beispiel TCP/IP-Portumleiter: IP PortForwarding(IPMASQADM)(empfohlen).

2.6 Anforderungen für IP-Masquerading unter Linux 2.3.x und 2.4.x

Die neueren 2.3.x und 2.4.x Linux-Kerne arbeiten mit dem neuartigen Programm NetFilter. Es hat viele grundlegende Änderungen in der Architektur und Bedienung gegeben, mit dem Ziel, das System flexibler, funktionsreicher und handlicher zu machen. Allerdings werden die Einrichtung und Gebrauch in dieser Version des Dokuments nicht berücksichtigt. Es ist noch nicht entschieden, ob wir dieses hier aufnehmen oder ob dafür eine eigene HOWTO geschrieben wird. Folgende Adressen verschaffen bis dato Hilfe:

http://netfilter.filewatcher.org/unreliable-guides/index.html

http://netfilter.filewatcher.org/unreliable-guides/NAT-HOWTO.html

2. Hintergrund Wissen

2.1 Was ist IP-Masquerading?

2.2 Aktueller Stand

2.3 Wie funktioniert IP-Masquerading?

2.4 Anforderungen für IP-Masquerading unter Linux 2.0.x

2.5 Anforderungen für IP-Masquerading unter Linux 2.2.x

2.6 Anforderungen für IP-Masquerading unter Linux 2.3.x und 2.4.x