Następna strona Poprzednia strona Spis treści

2. Podstawowa wiedza.

2.1 Co to jest maskowanie IP.

Jest to funkcja sieciowa w fazie rozwoju w Linuksie. Jeśli na podłączonym do Internetu Linux-ie jest włączone maskowanie, to komputery łączące siê z nim (czy to w tej samej sieci czy też przez modem) mogą także połączyæ siê z Internetem, pomimo iż nie mają swojego oficjalnego numeru IP.

Pozwala to grupom maszyn ukrytych za gateway-em, który wydaje siê byæ jedynym komputerem łączącym siê z Internetem, na niewidzialny dostêp do Internetu. Złamanie zabezpieczeñ dobrze skonfigurowanego systemu maskowania powinno byæ trudniejsze od złamania dobrego firewall-a opartego na filtrowaniu pakietów (zakładając, że w obu nie ma błêdów software'owych).

2.2 Obecny stan.

Maskowanie IP jest nadal w fazie eksperymentalnej. Jednak, jądra od wersji 1.3.x mają już wbudowaną obsługê. Wiele osób prywatnych jak i instytucji używa go z zadowalającym rezultatem.

Przeglądanie sici WWW oraz usługa telnet działają według zgłoszeñ dobrze. FTP, IRC i słuchanie Real Audio działają po załadowaniu pewnych modułów. Inne systemy przekazu audio jak True Speech czy Internet Wave także działają. Niektórzy z listy dyskusyjnej próbowali nawet konferencji wideo. Po zaaplikowaniu najnowszej łaty ICMP działa także ping.

Dokładniejszą listê działającego oprogramowania znajdziesz w sekcji 4.3.

Maskowanie IP działa dobrze z klientami na kilku różnych systemach operacyjnych i platformach. Pozytywne przypadki odnotowano z Unix-em, Windows 95, Windows NT, Windows for Workgroups (z pakietem TCP/IP), OS/2, Macintosh System's OS z Mac TCP, Mac Open Transport, DOS z pakietem NCSA Telnet, VAX, Alpha z Linux-em i nawet Amiga z AmiTCP czy ze stosem AS225.

2.3 Kto może mieæ korzyści z maskowania IP?

2.4 Kto nie potrzebuje maskowania IP?

2.5 Jak działa maskowanie IP?

Wziête z IP-Maquerade FAQ autorstwa Kena Evesa:

   Oto rysunek przedstawiający najprostszy przypadek:
 
     SLIP/PPP         +------------+                         +-------------+
     do prowajdera    |  Linux     |       SLIP/PPP          |  Cokolwiek  |
    <---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

   Na powyższym rysunku Linux z zainstalowanym i działającym
   maskowaniem jest połączony z Internetem poprzez SLIP lub PPP
   przez modem1. Ma on przypisany adres IP 111.222.333.444. Istnieje
   też możliwośæ połączenia siê z nim poprzez łącze dzwonione
   SLIP/PPP przez modem2.
   
   Drugi system (który nie musi byæ Linux-em) wdzwania siê do Linux-a
   i otwiera połączenie SLIP/PPP. NIE ma on przypisanego adresu IP w
   Internecie wiêc używa 192.168.1.100 (zobacz poniżej).
   
   Z poprawnie skonfigurowanymi maskowaniem IP i routing-iem
   Cokolwiek może połączyæ siê z Internetem jak gdyby rzeczywiście
   było podłączone (z kilkoma wyjątkami).

Cytat Pauline Middelink:
   Nie zapomnij wspomnieæ, że Cokolwiek powinno mieæ jako gateway
   Linux-a (czy to bêdzie domyślny routing czy tylko podsieæ nie ma
   znaczenia). Jeśli Cokolwiek nie może tego zrobiæ, Linux powinien
   działaæ jako proxy arp dla wszystkich routowanych adresów, ale
   ustawianie proxy arp jest poza obszarem tego dokumentu.
   
   Nastêpujące jest wyjątkiem z postu na grupie
   comp.os.linux.networking, który został poddany edycji, aby nazwy
   użyte w przykładzie powyżej pasowały:

   o Informujê Cokolwiek, że mój Linux ze SLIP-em jest jego gatewayem.
   o Kiedy nadejdzie do Linux-a pakiet z Cokolwiek, zostanie mu nadany
     nowy numer portu źródłowego oraz dodany adres Linux-a w nagłówku
     pakietu z zachowaniem oryginału. Potem Linux wyśle ten pakiet w
     świat przez SLIP/PPP.
   o Kiedy nadejdze do Linux-a pakiet ze świata, jeśli numer portu
     jest jednym z nadanych powyżej, zostanie nadany mu oryginalny port
     i adres IP i pakiet ten zostanie przesłany do Cokolwiek.
   o Host, który wysłał pakiet nigdy nie bêdzie widział różnicy.

Przykład Maskowania IP.

Oto typowy przykład:


    +----------+
    |          |  Ethernet
    | komp1    |::::::
    |          |2    :192.168.1.x
    +----------+     :
                     :   +----------+   łącze
    +----------+     :  1|  Linux   |    PPP
    |          |     ::::| masq-gate|:::::::::// Internet
    | komp2    |::::::   |          |
    |          |3    :   +----------+
    +----------+     :
                     :
    +----------+     :
    |          |     :
    | komp3    |::::::
    |          |4    
    +----------+  
                

    <-Sieæ wewnêtrzna->

W tym przykładzie są 4 komputrery, na których siê skupiliśmy (najpewniej jest jeszcze coś daleko na prawo, przez co przechodzi twoje połączenie z Internetem, i jest coś (daleko poza stroną) w Internecie, z czym byś chciał siê komunikowaæ). Linux masq-gate jest gateway-em z maskowaniem dla wewnêtrznej sieci złożonej z komp1, komp2 i komp3, które chcą siê dostaæ do Internetu. Sieæ wewnêtrzna używa jednego z adresów do prywatnego użytku, w tym przypadku sieci klasy C 192.168.1.0, z Linux-em posiadającym adres 192.168.1.1 i innymi systemami posiadającymi adresy w tej sieci.

Trzy maszyny komp1, komp2 i komp3 (które, przy okazji, mogą byæ jakimkolwiek innym systemem rozumiejącym IP - jak np.: Windows 95, Macintosh MacTCP czy nawet kolejny Linux) mogą połączyæ siê z innymi maszynami w Internecie, jednak system maskowania masq-gate zamienia wszystkie ich połączenia, tak żeby wyglądały jakby pochodziły z masq-gate i zajmuje siê tym, aby dane przychodzące spowrotem do połączenia maskowanego zostały przekazane do odpowiedniego systemu - tak wiêc systemy w wewnêtrznej sieci widzą bezpośrednie połączenie z Internetem i są nieświadome, że ich dane są zmieniane.

2.6 Wymagania dla maskowania IP na Linuksie 2.x.

** Najnowsze informacje znajdziesz na stronie zasobów dla maskowania. Trudno jest czêsto uaktualniaæ HOWTO.**


Następna strona Poprzednia strona Spis treści