2. Podstawowa wiedza.

2.1 Co to jest maskowanie IP.

Jest to funkcja sieciowa w fazie rozwoju w Linuksie. Je╢li na pod│▒czonym do Internetu Linux-ie jest w│▒czone maskowanie, to komputery │▒cz▒ce siê z nim (czy to w tej samej sieci czy te┐ przez modem) mog▒ tak┐e po│▒czyæ siê z Internetem, pomimo i┐ nie maj▒ swojego oficjalnego numeru IP.

Pozwala to grupom maszyn ukrytych za gateway-em, który wydaje siê byæ jedynym komputerem │▒cz▒cym siê z Internetem, na niewidzialny dostêp do Internetu. Z│amanie zabezpieczeñ dobrze skonfigurowanego systemu maskowania powinno byæ trudniejsze od z│amania dobrego firewall-a opartego na filtrowaniu pakietów (zak│adaj▒c, ┐e w obu nie ma b│êdów software'owych).

2.2 Obecny stan.

Maskowanie IP jest nadal w fazie eksperymentalnej. Jednak, j▒dra od wersji 1.3.x maj▒ ju┐ wbudowan▒ obs│ugê. Wiele osób prywatnych jak i instytucji u┐ywa go z zadowalaj▒cym rezultatem.

Przegl▒danie sici WWW oraz us│uga telnet dzia│aj▒ wed│ug zg│oszeñ dobrze. FTP, IRC i s│uchanie Real Audio dzia│aj▒ po za│adowaniu pewnych modu│ów. Inne systemy przekazu audio jak True Speech czy Internet Wave tak┐e dzia│aj▒. Niektórzy z listy dyskusyjnej próbowali nawet konferencji wideo. Po zaaplikowaniu najnowszej │aty ICMP dzia│a tak┐e ping.

Dok│adniejsz▒ listê dzia│aj▒cego oprogramowania znajdziesz w sekcji 4.3.

Maskowanie IP dzia│a dobrze z klientami na kilku ró┐nych systemach operacyjnych i platformach. Pozytywne przypadki odnotowano z Unix-em, Windows 95, Windows NT, Windows for Workgroups (z pakietem TCP/IP), OS/2, Macintosh System's OS z Mac TCP, Mac Open Transport, DOS z pakietem NCSA Telnet, VAX, Alpha z Linux-em i nawet Amiga z AmiTCP czy ze stosem AS225.

2.3 Kto mo┐e mieæ korzy╢ci z maskowania IP?

• Je╢li masz Linux-a pod│▒czonego do Internetu i
• je╢li masz kilka komputerów z TCP/IP pod│▒czonych do tego Linux-a w lokalnej podsieci i/lub
• je╢li twój Linux posiada wiêcej ni┐ jeden modem i odgrywa rolê serwera PPP czy SLIP dla innych, którzy to
• inni nie maj▒ oficjalnego numeru IP (te maszyny s▒ reprezentowane tutaj jako INNE)
• i oczywi╢cie chcesz, ┐eby te INNE maszyny tak┐e mia│y dostêp do Internetu bez dodatkowych kosztów :)

2.4 Kto nie potrzebuje maskowania IP?

• Je╢li twoja maszyna jest samotnym Linux-em pod│▒czonym do Internetu, wtedy maskowanie IP jest bezcelowe.
• Je╢li masz ju┐ adresy IP dla swoich INNYCH maszyn, wtedy nie potrzebujesz maskowania.
• I oczywi╢cie, je╢li nie podoba ci siê pomys│ 'darmowej przeja┐d┐ki'.

2.5 Jak dzia│a maskowanie IP?

Wziête z IP-Maquerade FAQ autorstwa Kena Evesa:

   Oto rysunek przedstawiaj▒cy najprostszy przypadek:
 
     SLIP/PPP         +------------+                         +-------------+
     do prowajdera    |  Linux     |       SLIP/PPP          |  Cokolwiek  |
    <---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

   Na powy┐szym rysunku Linux z zainstalowanym i dzia│aj▒cym
   maskowaniem jest po│▒czony z Internetem poprzez SLIP lub PPP
   przez modem1. Ma on przypisany adres IP 111.222.333.444. Istnieje
   te┐ mo┐liwo╢æ po│▒czenia siê z nim poprzez │▒cze dzwonione
   SLIP/PPP przez modem2.
   
   Drugi system (który nie musi byæ Linux-em) wdzwania siê do Linux-a
   i otwiera po│▒czenie SLIP/PPP. NIE ma on przypisanego adresu IP w
   Internecie wiêc u┐ywa 192.168.1.100 (zobacz poni┐ej).
   
   Z poprawnie skonfigurowanymi maskowaniem IP i routing-iem
   Cokolwiek mo┐e po│▒czyæ siê z Internetem jak gdyby rzeczywi╢cie
   by│o pod│▒czone (z kilkoma wyj▒tkami).

Cytat Pauline Middelink:
   Nie zapomnij wspomnieæ, ┐e Cokolwiek powinno mieæ jako gateway
   Linux-a (czy to bêdzie domy╢lny routing czy tylko podsieæ nie ma
   znaczenia). Je╢li Cokolwiek nie mo┐e tego zrobiæ, Linux powinien
   dzia│aæ jako proxy arp dla wszystkich routowanych adresów, ale
   ustawianie proxy arp jest poza obszarem tego dokumentu.
   
   Nastêpuj▒ce jest wyj▒tkiem z postu na grupie
   comp.os.linux.networking, który zosta│ poddany edycji, aby nazwy
   u┐yte w przyk│adzie powy┐ej pasowa│y:

   o Informujê Cokolwiek, ┐e mój Linux ze SLIP-em jest jego gatewayem.
   o Kiedy nadejdzie do Linux-a pakiet z Cokolwiek, zostanie mu nadany
     nowy numer portu ╝ród│owego oraz dodany adres Linux-a w nag│ówku
     pakietu z zachowaniem orygina│u. Potem Linux wy╢le ten pakiet w
     ╢wiat przez SLIP/PPP.
   o Kiedy nadejdze do Linux-a pakiet ze ╢wiata, je╢li numer portu
     jest jednym z nadanych powy┐ej, zostanie nadany mu oryginalny port
     i adres IP i pakiet ten zostanie przes│any do Cokolwiek.
   o Host, który wys│a│ pakiet nigdy nie bêdzie widzia│ ró┐nicy.

Przyk│ad Maskowania IP.

Oto typowy przyk│ad:

    +----------+
    |          |  Ethernet
    | komp1    |::::::
    |          |2    :192.168.1.x
    +----------+     :
                     :   +----------+   │▒cze
    +----------+     :  1|  Linux   |    PPP
    |          |     ::::| masq-gate|:::::::::// Internet
    | komp2    |::::::   |          |
    |          |3    :   +----------+
    +----------+     :
                     :
    +----------+     :
    |          |     :
    | komp3    |::::::
    |          |4    
    +----------+  
                

    <-Sieæ wewnêtrzna->

W tym przyk│adzie s▒ 4 komputrery, na których siê skupili╢my (najpewniej jest jeszcze co╢ daleko na prawo, przez co przechodzi twoje po│▒czenie z Internetem, i jest co╢ (daleko poza stron▒) w Internecie, z czym by╢ chcia│ siê komunikowaæ). Linux masq-gate jest gateway-em z maskowaniem dla wewnêtrznej sieci z│o┐onej z komp1, komp2 i komp3, które chc▒ siê dostaæ do Internetu. Sieæ wewnêtrzna u┐ywa jednego z adresów do prywatnego u┐ytku, w tym przypadku sieci klasy C 192.168.1.0, z Linux-em posiadaj▒cym adres 192.168.1.1 i innymi systemami posiadaj▒cymi adresy w tej sieci.

Trzy maszyny komp1, komp2 i komp3 (które, przy okazji, mog▒ byæ jakimkolwiek innym systemem rozumiej▒cym IP - jak np.: Windows 95, Macintosh MacTCP czy nawet kolejny Linux) mog▒ po│▒czyæ siê z innymi maszynami w Internecie, jednak system maskowania masq-gate zamienia wszystkie ich po│▒czenia, tak ┐eby wygl▒da│y jakby pochodzi│y z masq-gate i zajmuje siê tym, aby dane przychodz▒ce spowrotem do po│▒czenia maskowanego zosta│y przekazane do odpowiedniego systemu - tak wiêc systemy w wewnêtrznej sieci widz▒ bezpo╢rednie po│▒czenie z Internetem i s▒ nie╢wiadome, ┐e ich dane s▒ zmieniane.

2.6 Wymagania dla maskowania IP na Linuksie 2.x.

** Najnowsze informacje znajdziesz na stronie zasobów dla maskowania. Trudno jest czêsto uaktualniaæ HOWTO.**

• ¼ród│a j▒dra w wersji 2.0.x z ftp.icm.edu.pl
  (Tak, bêdziesz musia│ sobie skompilowaæ j▒dro z pewnymi dodatkami. Zalecana jest najnowsza stabilna wersja.)
• Modu│y j▒dra, najlepiej 2.0.0 lub nowsze dostêpne z ftp.icm.edu.pl
  (modules-1.3.57 jest najstarsz▒ mo┐liw▒ wersj▒)
• Dobrze skonfigurowana sieæ TCP/IP.
  Jest to omówione w NET-3-HOWTO (dostêpnym w j. polskim) oraz w Network Administrator's Guide.
• Po│▒czenie z Internetem dla twojego Linux-a.
  Omówione w ISP-Hookup-HOWTO (dostêpne w j. polskim), PPP-HOWTO (dostêpne w j. polskim) oraz PPP-over-ISDN mini-HOWTO.
• ipfwadm 2.3 lub nowszy dostêpny z ftp.icm.edu.pl
  Wiêcej informacji na temat wymaganej wersji znajduje siê na stronie o ipfwadm.
• Mo┐esz opcjonalnie na│o┐yæ kilka │at do maskowania, aby w│▒czyæ dodatkowe mo┐liwo╢ci. Wiêcej informacji znajdziesz na stronie zasobów dla maskowania (│aty te mo┐na nak│adaæ na wszystkie wersje j▒dra 2.0).