** A legfrissebb információk az IP Masquerade Resource (IP-maszkolási forrásanyag) honlapon olvashatók. **
A legújabb 2.4.x rendszermagok már egy teljesen új TCP/IP hálózati vermet használnak, valamint egy új NAT-alrendszert, aminek Netfilter a neve. Ezen a Netfilter eszközcsomagon belül egy IPTABLES nevű eszközünk van, ami a 2.4.x rendszermagok számára hasonló szerepet játszik, mint az IPCHAINS a 2.2.x, illetve az IPFWADM a 2.0.x rendszermagoknál. Az új IPTABLES rendszer sokkal erőteljesebb (sok funkciót egy helyen egyesít, mint az igazi NAT-szolgáltatás), jobb biztonságot nyújt (állapotvizsgálat), és jobb teljesítményű az új TCP/IP veremmel. Viszont ez az új eszközcsomag kicsit komplikáltabb, összehasonlítva a régebbi rendszermagokkal. Remélhetőleg, ha figyelmesen követjük ezt a leírást, nem lesz nehéz beállítani. Ha bármit érthetetlennek vagy egyenesen rossznak találsz, írd e-mailt Davidnek.
Eltérően az IPFWADM-ról az IPCHAINS-re való átállástól, az új Netfilter eszköznél vannak rendszermag-modulok, amelyek minimális eltéréssel támogatják a régebbi IPCHAINS vagy IPFWADM szabályokat. Ezért a régi MASQ- vagy tűzfalszabályok beállítására szolgáló parancsfájlok átírása nem szükséges többé. AZONBAN... a 2.4.x rendszermagokkal, nem tudod használni a régi 2.2.x MASQ modulokat, mint az ip_masq_ftp, ip_masq_irc, stb. ÉS az IPCHAINS is inkompatibilis az új IPTABLES modulokkal, mint az ip_conntrack_ftp, stb. Mit jelent ez? Ez egyszerűen azt jelenti, ha használni szeretnéd a 2.4.x rendszermag IPMASQ vagy PORTFW funkcióját, nem használhatod az IPCHAINS szabályait, de használhatod helyette az IPTABLES lehetőségeit. Azt is vedd figyelembe, hogy a szabályoknak az új IPTABLES-re való teljes átírása több előnyt is jelent, mint pl. az állapotkövetés és hasonló lehetőségek, de persze ez függ attól, mennyi időt szánsz a régi szabályok átvételére. Olvasd el a 7.39 fejezetet további részletekért.
Néhány az új 2.4.x lehetőség közül:
Előnyök:
Egy csomó új protokoll-modul: amanda, eggdrop, ipsec, ipv6, portscan, pptp, quota, rsh, talk, és tftp
VALÓDI 1:1 NAT funkcionalitás azoknak, akiknek vannak TCP/IP címeik és használható alhálózataik (nem kell többé az iproute2 parancs)
Állapottartó applikációs szintű (FTP, IRC stb.) és állapottartó protokollszintű (TCP/UDP/ICMP) hálózati forgalomvizsgálat
Beépített port-továbbítás (port-forwarding: nincs szükség ipmasqadm vagy ipportfw parancsokra)
A beépített port-továbbítás mind a külső, mind a belső forgalom esetében működik. Ez azt jelenti, hogy azoknak a felhasználóknak, akiknél PORTFW van a külső és REDIR a belső port-átirányításra, nem kell többé két programot használni!
A port-továbbítás az FTP-nél a belső gépek felé már teljesen biztosított, ezt a conn_trak_ftp modul végzi
Teljes policy-alapú útválasztási lehetőségek (forrásalapú TCP/IP-címválasztás)
Kompatibilitás a Linux FastRoute lehetőségével a jelentősen gyorsabb csomagtovábbítás érdekében (Linux hálózatkapcsolás)
Jegyezd meg, hogy ez a lehetőség még nem kompatibilis a biztonságos tűzfalszabályoknál csomagszűrésével.
A TCP/IP v4, v6 és még a DECnet teljes támogatása
A helyettesítő karakterek használati lehetősége, mint ppp* az összes soros (ppp0, ppp1 stb.) illesztőre
A szűrés lehetősége mind a kimeneti, mind a bemeneti illesztőre (nemcsak az IP-címekre)
A forrás MAC-címe alapján történő szűrés
Denial of Service (DoS) elleni csomagráta szabályozás
A csomag-visszautasítás (REJECT) most választható ICMP-üzeneteket képes küldeni
Választható naplózási szint (különböző csomagok a SYSLOG különböző szintjeire mehetnek)
Más lehetőségek, mint forgalomtükrözés, bejelentkezésenkénti biztonságos forgalom stb.
Hátrányok:
A Netfilter teljesen új architektúra, ezért a legtöbb régi 2.2.x MASQ rendszermag-modult, amelyet a NAT-tal nem összeférhető hálózati alkalmazásokhoz írtak, újra kell írni a 2.4.x-hez. Emiatt, ha ezen modulok valamelyikének szolgáltatására van szükséged, a 2.2.x sorozatnál kell maradnunk, amíg ezeket újraírják. Ha kíváncsi vagy bizonyos modulok újraírásának állapotára, írj e-mailt a modul szerzőjének, de NE Davidnek vagy Ambrose-nak. Mi nem kódolunk, csak dokumentálunk :-)
Itt a lista az ismert IPMASQ modulok vagy foltozások (patches) helyzetéről, amint az IPMASQ WWW site's Application Support Matrix webhelyen található volt. Ezen felül megnézheted a Netfilter Patch-o-Matic címet is. Ha van időd és szaktudásod a kód újraírásához, az erőfeszítéseid nagyon köszönjük.
Állapot Modul neve Leírás és megjegyzések
--------- ----------- ----------------------------------
van CuSeeme Videokonferenciákhoz használják
nincs DirectPlay Az on-line Microsoft-alapú játékokhoz
van FTP Fájlátvitelre használják
- Megj.: A rendszermagba építve, és teljesen
támogatja a port-továbbított FTP-t
újraírva H.323 Videokonferenciákhoz
nincs ICQ Azonnali üzenetváltásra használják
- Megj.: a korszerű ICQ klienseknek
nincs szüksége rá
van Irc On-line csevegéshez használják
van Quake Az on-line Quake játékhoz
van PPTP Egy kiszolgálóhoz több ügyfél kapcsolódásához
nincs Real Audio A streaming videohoz és audiohoz
- Megj.: a korszerű RealVideo klienseknek
nincs szüksége rá
nincs VDO Live A streaming audiohoz szükséges? |
A MASQ-modulok újraírásának dokumentációja megtalálható a http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.html honlapon. Még egyszer, ha van időd és tudásod, a modulok újraírásáért nagyon hálásak lesznek a felhasználók.
Ha többet szeretnél olvasni a Netfilterről és az IPTABLES-ről, látogass el a http://www.netfilter.org/documentation/index.html#HOWTO honlapra. Ezeknél részletesebb információt a http://www.netfilter.org/documentation/HOWTO//NAT-HOWTO.html honlapon találsz.
Az IP-maszkolás követelményei Linux 2.4.x rendszeren a következők:
Bármely elfogadható minőségű hardver. Olvasd el a 7.2 fejezetet további információért.
A 2.4.x rendszermag-forrás, megtalálható a http://www.kernel.org/ webhelyen.
MEGJ.: a legtöbb modern Linux-terjesztés (7.1 ), amely helyből a 2.4.x rendszermaggal rendelkezik, tipikusan moduláris felépítésű, és már eleve tartalmazza az összes IP-maszkolási szolgáltatást. Ebben az esetben nem kell új rendszermagot fordítani. Ha frissíted a rendszermagot, figyelned kell egyéb programokra is, amelyekre szükség lehet, illetve szintén frissítendők ezzel egy időben (később említést teszünk róluk).
Az "iptables" program 1.2.4 vagy újabb verziója (az 1.2.7a ajánlott), ami megtalálható a http://www.netfilter.org/ webhelyen.
Megj. #1: Az iptables minden 1.2.3 előtti verziója olyan FTP modullal rendelkezik, ami kikerül bármely meglévő tűzfalszabályt. MINDEN iptables felhasználónak ajánlott frissíteni a legújabb verzióra. Az URL fentebb található.
Megj. #2: Minden 1.2.2 előtti IPTABLES-ben egy FTP "port" biztonsági rés van az ip_conntrack_ftp modulban. MINDEN iptables felhasználónak ajánlott frissíteni a legújabb verzióra. Az URL fentebb található.
Ez az eszköz, mint a régi IPCHAINS vagy IPFWADM eszközök is, engedélyezi a különböző MASQ-kódokat, a NAT fejlettebb formáit, csomagszűrést stb. Ezenkívül használ kiegészítő modulokat is, mint az FTP vagy IRC. További információ a verzió-követelményekről az IPTABLES-HOGYANokban olvashatsz a Unreliable IPTABLES HOWTOs (Megbízhatatlan IPTABLES HOGYANok) leírásban.
Betölthető rendszermag-modulok programjai, ajánlott a 2.1.121 vagy újabb verzió; megtalálható a http://www.pi.se/blox/modutils/index.html vagy ftp://ftp.kernel.org/pub/linux/utils/kernel/modutils webhelyeken.
Megfelelően beállított és működő TCP/IP hálózat a Linux-gépen, amint az a Linux NET HOWTO és a Network Administrator's Guide (Hálózati adminisztrátorok kézikönyve) leírásban olvasható. Ezen kívül érdemes elolvasni a TrinityOS dokumentumot, ami David Ranch műve. A TrinityOS nagyon széles körű leírás a Linux-hálózathoz. Néhány téma: IPMASQ, biztonság, DNS, DHCP, Sendmail, PPP, Diald, IPSEC-alapú magánhálózatok, hangolási beállítások, hogy csak néhányat említsünk. Több mint 50 fejezet van benne összesen!
Csatlakozási lehetőség az internethez, erről a Linux ISP Hookup HOWTO (Csatlakozás az internet-szolgáltatóhoz HOGYAN), Linux PPP HOWTO, és TrinityOS szól. Egyéb hasznos HOGYANok: Linux DHCP mini-HOWTO (DHCP mini-HOGYAN), Linux Cable Modem mini-HOWTO és http://www.tldp.org/HOWTO/DSL-HOWTO/index.html
Ismerned kell egy új rendszermag beállításának, fordítását és telepítésének menetét; ezekről szól a Linux Kernel HOWTO (Linux rendszermag HOGYAN). Ez a HOGYAN szól ugyan a rendszermag-fordításról, de csak az IPMASQ-kal kapcsolatos dolgokról.
| Előző | Tartalomjegyzék | Következő |
| Hogyan működik az IP-maszkolás? | Fel | Az IP-maszkolás követelményei Linux 2.2.x rendszereken |