Jest to funkcja sieciowa w fazie rozwoju w Linuksie. Jeśli na podłączonym do Internetu Linux-ie jest włączone maskowanie, to komputery łączące siê z nim (czy to w tej samej sieci czy też przez modem) mogą także połączyæ siê z Internetem, pomimo iż nie mają swojego oficjalnego numeru IP.
Pozwala to grupom maszyn ukrytych za gateway-em, który wydaje siê byæ jedynym komputerem łączącym siê z Internetem, na niewidzialny dostêp do Internetu. Złamanie zabezpieczeñ dobrze skonfigurowanego systemu maskowania powinno byæ trudniejsze od złamania dobrego firewall-a opartego na filtrowaniu pakietów (zakładając, że w obu nie ma błêdów software'owych).
Maskowanie IP jest nadal w fazie eksperymentalnej. Jednak, jądra od wersji 1.3.x mają już wbudowaną obsługê. Wiele osób prywatnych jak i instytucji używa go z zadowalającym rezultatem.
Przeglądanie sici WWW oraz usługa telnet działają według zgłoszeñ
dobrze. FTP, IRC i słuchanie Real Audio działają po załadowaniu
pewnych modułów. Inne systemy przekazu audio jak True Speech czy
Internet Wave także działają. Niektórzy z listy dyskusyjnej
próbowali nawet konferencji wideo. Po zaaplikowaniu najnowszej łaty
ICMP działa także ping
.
Dokładniejszą listê działającego oprogramowania znajdziesz w sekcji 4.3.
Maskowanie IP działa dobrze z klientami na kilku różnych systemach operacyjnych i platformach. Pozytywne przypadki odnotowano z Unix-em, Windows 95, Windows NT, Windows for Workgroups (z pakietem TCP/IP), OS/2, Macintosh System's OS z Mac TCP, Mac Open Transport, DOS z pakietem NCSA Telnet, VAX, Alpha z Linux-em i nawet Amiga z AmiTCP czy ze stosem AS225.
Wziête z IP-Maquerade FAQ autorstwa Kena Evesa:
Oto rysunek przedstawiający najprostszy przypadek: SLIP/PPP +------------+ +-------------+ do prowajdera | Linux | SLIP/PPP | Cokolwiek | <---------- modem1| |modem2 ----------- modem | | 111.222.333.444 | | 192.168.1.100 | | +------------+ +-------------+ Na powyższym rysunku Linux z zainstalowanym i działającym maskowaniem jest połączony z Internetem poprzez SLIP lub PPP przez modem1. Ma on przypisany adres IP 111.222.333.444. Istnieje też możliwośæ połączenia siê z nim poprzez łącze dzwonione SLIP/PPP przez modem2. Drugi system (który nie musi byæ Linux-em) wdzwania siê do Linux-a i otwiera połączenie SLIP/PPP. NIE ma on przypisanego adresu IP w Internecie wiêc używa 192.168.1.100 (zobacz poniżej). Z poprawnie skonfigurowanymi maskowaniem IP i routing-iem Cokolwiek może połączyæ siê z Internetem jak gdyby rzeczywiście było podłączone (z kilkoma wyjątkami). Cytat Pauline Middelink: Nie zapomnij wspomnieæ, że Cokolwiek powinno mieæ jako gateway Linux-a (czy to bêdzie domyślny routing czy tylko podsieæ nie ma znaczenia). Jeśli Cokolwiek nie może tego zrobiæ, Linux powinien działaæ jako proxy arp dla wszystkich routowanych adresów, ale ustawianie proxy arp jest poza obszarem tego dokumentu. Nastêpujące jest wyjątkiem z postu na grupie comp.os.linux.networking, który został poddany edycji, aby nazwy użyte w przykładzie powyżej pasowały: o Informujê Cokolwiek, że mój Linux ze SLIP-em jest jego gatewayem. o Kiedy nadejdzie do Linux-a pakiet z Cokolwiek, zostanie mu nadany nowy numer portu źródłowego oraz dodany adres Linux-a w nagłówku pakietu z zachowaniem oryginału. Potem Linux wyśle ten pakiet w świat przez SLIP/PPP. o Kiedy nadejdze do Linux-a pakiet ze świata, jeśli numer portu jest jednym z nadanych powyżej, zostanie nadany mu oryginalny port i adres IP i pakiet ten zostanie przesłany do Cokolwiek. o Host, który wysłał pakiet nigdy nie bêdzie widział różnicy.
Przykład Maskowania IP.
Oto typowy przykład:
+----------+ | | Ethernet | komp1 |:::::: | |2 :192.168.1.x +----------+ : : +----------+ łącze +----------+ : 1| Linux | PPP | | ::::| masq-gate|:::::::::// Internet | komp2 |:::::: | | | |3 : +----------+ +----------+ : : +----------+ : | | : | komp3 |:::::: | |4 +----------+ <-Sieæ wewnêtrzna->
W tym przykładzie są 4 komputrery, na których siê skupiliśmy
(najpewniej jest jeszcze coś daleko na prawo, przez co przechodzi
twoje połączenie z Internetem, i jest coś (daleko poza stroną) w
Internecie, z czym byś chciał siê komunikowaæ). Linux
masq-gate
jest gateway-em z maskowaniem dla wewnêtrznej
sieci złożonej z komp1
, komp2
i komp3
, które chcą
siê dostaæ do Internetu. Sieæ wewnêtrzna używa jednego z adresów do
prywatnego użytku, w tym przypadku sieci klasy C 192.168.1.0,
z Linux-em posiadającym adres 192.168.1.1 i innymi systemami
posiadającymi adresy w tej sieci.
Trzy maszyny komp1
, komp2
i komp3
(które, przy
okazji, mogą byæ jakimkolwiek innym systemem rozumiejącym IP - jak
np.: Windows 95, Macintosh MacTCP czy nawet
kolejny Linux) mogą połączyæ siê z innymi maszynami w Internecie,
jednak system maskowania masq-gate
zamienia wszystkie ich
połączenia, tak żeby wyglądały jakby pochodziły z masq-gate
i
zajmuje siê tym, aby dane przychodzące spowrotem do połączenia
maskowanego zostały przekazane do odpowiedniego systemu - tak
wiêc systemy w wewnêtrznej sieci widzą bezpośrednie połączenie z
Internetem i są nieświadome, że ich dane są zmieniane.
** Najnowsze informacje znajdziesz na stronie zasobów dla maskowania. Trudno jest czêsto uaktualniaæ HOWTO.**