2. Podstawowa wiedza.

2.1 Co to jest maskowanie IP.

Jest to funkcja sieciowa w fazie rozwoju w Linuksie. Jeśli na podłączonym do Internetu Linux-ie jest włączone maskowanie, to komputery łączące siê z nim (czy to w tej samej sieci czy też przez modem) mogą także połączyæ siê z Internetem, pomimo iż nie mają swojego oficjalnego numeru IP.

Pozwala to grupom maszyn ukrytych za gateway-em, który wydaje siê byæ jedynym komputerem łączącym siê z Internetem, na niewidzialny dostêp do Internetu. Złamanie zabezpieczeñ dobrze skonfigurowanego systemu maskowania powinno byæ trudniejsze od złamania dobrego firewall-a opartego na filtrowaniu pakietów (zakładając, że w obu nie ma błêdów software'owych).

2.2 Obecny stan.

Maskowanie IP jest nadal w fazie eksperymentalnej. Jednak, jądra od wersji 1.3.x mają już wbudowaną obsługê. Wiele osób prywatnych jak i instytucji używa go z zadowalającym rezultatem.

Przeglądanie sici WWW oraz usługa telnet działają według zgłoszeñ dobrze. FTP, IRC i słuchanie Real Audio działają po załadowaniu pewnych modułów. Inne systemy przekazu audio jak True Speech czy Internet Wave także działają. Niektórzy z listy dyskusyjnej próbowali nawet konferencji wideo. Po zaaplikowaniu najnowszej łaty ICMP działa także ping.

Dokładniejszą listê działającego oprogramowania znajdziesz w sekcji 4.3.

Maskowanie IP działa dobrze z klientami na kilku różnych systemach operacyjnych i platformach. Pozytywne przypadki odnotowano z Unix-em, Windows 95, Windows NT, Windows for Workgroups (z pakietem TCP/IP), OS/2, Macintosh System's OS z Mac TCP, Mac Open Transport, DOS z pakietem NCSA Telnet, VAX, Alpha z Linux-em i nawet Amiga z AmiTCP czy ze stosem AS225.

2.3 Kto może mieæ korzyści z maskowania IP?

• Jeśli masz Linux-a podłączonego do Internetu i
• jeśli masz kilka komputerów z TCP/IP podłączonych do tego Linux-a w lokalnej podsieci i/lub
• jeśli twój Linux posiada wiêcej niż jeden modem i odgrywa rolê serwera PPP czy SLIP dla innych, którzy to
• inni nie mają oficjalnego numeru IP (te maszyny są reprezentowane tutaj jako INNE)
• i oczywiście chcesz, żeby te INNE maszyny także miały dostêp do Internetu bez dodatkowych kosztów :)

2.4 Kto nie potrzebuje maskowania IP?

• Jeśli twoja maszyna jest samotnym Linux-em podłączonym do Internetu, wtedy maskowanie IP jest bezcelowe.
• Jeśli masz już adresy IP dla swoich INNYCH maszyn, wtedy nie potrzebujesz maskowania.
• I oczywiście, jeśli nie podoba ci siê pomysł 'darmowej przejażdżki'.

2.5 Jak działa maskowanie IP?

Wziête z IP-Maquerade FAQ autorstwa Kena Evesa:

   Oto rysunek przedstawiający najprostszy przypadek:
 
     SLIP/PPP         +------------+                         +-------------+
     do prowajdera    |  Linux     |       SLIP/PPP          |  Cokolwiek  |
    <---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

   Na powyższym rysunku Linux z zainstalowanym i działającym
   maskowaniem jest połączony z Internetem poprzez SLIP lub PPP
   przez modem1. Ma on przypisany adres IP 111.222.333.444. Istnieje
   też możliwośæ połączenia siê z nim poprzez łącze dzwonione
   SLIP/PPP przez modem2.
   
   Drugi system (który nie musi byæ Linux-em) wdzwania siê do Linux-a
   i otwiera połączenie SLIP/PPP. NIE ma on przypisanego adresu IP w
   Internecie wiêc używa 192.168.1.100 (zobacz poniżej).
   
   Z poprawnie skonfigurowanymi maskowaniem IP i routing-iem
   Cokolwiek może połączyæ siê z Internetem jak gdyby rzeczywiście
   było podłączone (z kilkoma wyjątkami).

Cytat Pauline Middelink:
   Nie zapomnij wspomnieæ, że Cokolwiek powinno mieæ jako gateway
   Linux-a (czy to bêdzie domyślny routing czy tylko podsieæ nie ma
   znaczenia). Jeśli Cokolwiek nie może tego zrobiæ, Linux powinien
   działaæ jako proxy arp dla wszystkich routowanych adresów, ale
   ustawianie proxy arp jest poza obszarem tego dokumentu.
   
   Nastêpujące jest wyjątkiem z postu na grupie
   comp.os.linux.networking, który został poddany edycji, aby nazwy
   użyte w przykładzie powyżej pasowały:

   o Informujê Cokolwiek, że mój Linux ze SLIP-em jest jego gatewayem.
   o Kiedy nadejdzie do Linux-a pakiet z Cokolwiek, zostanie mu nadany
     nowy numer portu źródłowego oraz dodany adres Linux-a w nagłówku
     pakietu z zachowaniem oryginału. Potem Linux wyśle ten pakiet w
     świat przez SLIP/PPP.
   o Kiedy nadejdze do Linux-a pakiet ze świata, jeśli numer portu
     jest jednym z nadanych powyżej, zostanie nadany mu oryginalny port
     i adres IP i pakiet ten zostanie przesłany do Cokolwiek.
   o Host, który wysłał pakiet nigdy nie bêdzie widział różnicy.

Przykład Maskowania IP.

Oto typowy przykład:

    +----------+
    |          |  Ethernet
    | komp1    |::::::
    |          |2    :192.168.1.x
    +----------+     :
                     :   +----------+   łącze
    +----------+     :  1|  Linux   |    PPP
    |          |     ::::| masq-gate|:::::::::// Internet
    | komp2    |::::::   |          |
    |          |3    :   +----------+
    +----------+     :
                     :
    +----------+     :
    |          |     :
    | komp3    |::::::
    |          |4    
    +----------+  
                

    <-Sieæ wewnêtrzna->

W tym przykładzie są 4 komputrery, na których siê skupiliśmy (najpewniej jest jeszcze coś daleko na prawo, przez co przechodzi twoje połączenie z Internetem, i jest coś (daleko poza stroną) w Internecie, z czym byś chciał siê komunikowaæ). Linux masq-gate jest gateway-em z maskowaniem dla wewnêtrznej sieci złożonej z komp1, komp2 i komp3, które chcą siê dostaæ do Internetu. Sieæ wewnêtrzna używa jednego z adresów do prywatnego użytku, w tym przypadku sieci klasy C 192.168.1.0, z Linux-em posiadającym adres 192.168.1.1 i innymi systemami posiadającymi adresy w tej sieci.

Trzy maszyny komp1, komp2 i komp3 (które, przy okazji, mogą byæ jakimkolwiek innym systemem rozumiejącym IP - jak np.: Windows 95, Macintosh MacTCP czy nawet kolejny Linux) mogą połączyæ siê z innymi maszynami w Internecie, jednak system maskowania masq-gate zamienia wszystkie ich połączenia, tak żeby wyglądały jakby pochodziły z masq-gate i zajmuje siê tym, aby dane przychodzące spowrotem do połączenia maskowanego zostały przekazane do odpowiedniego systemu - tak wiêc systemy w wewnêtrznej sieci widzą bezpośrednie połączenie z Internetem i są nieświadome, że ich dane są zmieniane.

2.6 Wymagania dla maskowania IP na Linuksie 2.x.

** Najnowsze informacje znajdziesz na stronie zasobów dla maskowania. Trudno jest czêsto uaktualniaæ HOWTO.**

• Źródła jądra w wersji 2.0.x z ftp.icm.edu.pl
  (Tak, bêdziesz musiał sobie skompilowaæ jądro z pewnymi dodatkami. Zalecana jest najnowsza stabilna wersja.)
• Moduły jądra, najlepiej 2.0.0 lub nowsze dostêpne z ftp.icm.edu.pl
  (modules-1.3.57 jest najstarszą możliwą wersją)
• Dobrze skonfigurowana sieæ TCP/IP.
  Jest to omówione w NET-3-HOWTO (dostêpnym w j. polskim) oraz w Network Administrator's Guide.
• Połączenie z Internetem dla twojego Linux-a.
  Omówione w ISP-Hookup-HOWTO (dostêpne w j. polskim), PPP-HOWTO (dostêpne w j. polskim) oraz PPP-over-ISDN mini-HOWTO.
• ipfwadm 2.3 lub nowszy dostêpny z ftp.icm.edu.pl
  Wiêcej informacji na temat wymaganej wersji znajduje siê na stronie o ipfwadm.
• Możesz opcjonalnie nałożyæ kilka łat do maskowania, aby włączyæ dodatkowe możliwości. Wiêcej informacji znajdziesz na stronie zasobów dla maskowania (łaty te można nakładaæ na wszystkie wersje jądra 2.0).