Hier sind die Netzwerke anzugeben, die nach aussen hin maskiert werden sollen. Verwendet man nicht-offizielle IP-Adressen, wie z.B. 192.168.x.x, und soll der Router als Zugang in's Internet verwendet werden, müssen diese hier unbedingt angegeben werden.

Die Form ist:

NETZWERKNUMMER/ANZAHL-DER-GESETZTEN-BITS-IN-NETMASK
    

also z.B. für Netze der Form 192.168.x.0:

MASQ_NETWORK='192.168.6.0/24'
    

Hier sind also die ersten 24 Bits in der Netzwerkmaske gesetzt.

Sollen mehrere Netze maskiert werden, sind diese durch Leerzeichen zu trennen. Soll kein Netz maskiert werden, muss der Variablen-Inhalt leer sein.

IP-Masquerading hat zwar den Vorteil, daß mehrere Rechner im LAN über eine einzige offizielle IP-Adresse geroutet werden kann, es gibt aber auch Nachteile, die man in Kauf nehmen muß.

Ein großes Problem ist zum Beispiel, daß kein Rechner von außen von sich aus eine Verbindung zu einem Rechner aufnehmen kann. Das ist zwar aus Sicherheitsgründen eigentlich durchaus erwünscht, aber bestimmte Protokolle funktionieren nicht mehr, weil sie einen Verbindungsaufbau von außen einfach erfordern.

Ein klassisches Beispiel ist ftp. Neben dem Kommunikationskanal, auf dem Befehle und Antworten ausgetauscht werden, wird ein weiterer Kanal (in Form eines IP-Ports) verwendet, um die eigentlichen Nutzdaten zu versenden. fli4l verwendet dafür bestimmte Masquerading-Module, um solche zusätzlichen Ports, die verwendet werden, ad hoc dann freizuschalten und an den internen Rechner weiterzuleiten, wenn sie benötigt werden. Dabei "horcht" das Masquerading-Modul in den Datenstrom, um zu erkennen, wann ein zusätzlicher Port benötigt wird.

Typische Anwendungen für Masquerading-Module sind Chat-Protokolle und Internet-Spiele.

Bisher wurde für fli4l das ftp-Masquerading-Modul immer automatisch geladen. Mittlerweile sind weitere Module verfügbar, nämlich:

ftp             File Pransfer Protocol
h323            h323 IP-Telefonie (MS-Netmeeting und Verwandte)
icq             Internet Chat
irc             Internet Relay Chat
raudio          Real Audio
vdolive         Vdolive
quake           Quake
cuseeme         Cuseeme
pptp            PPTP masquerading
ipsec           IPSEC
dplay           Direct Play
msn-0.01        MSN Game Zone - Version 0.01
msn-0.02        MSN Game Zone - Version 0.02 (beta)
udp_dloose      Für Internet-Spiele
   

Natürlich kann man nicht für jedes Protokoll, welches zusätzliche Ports verwendet, ein separates Masquerading-Modul programmieren. Aus diesem Grund gibt es neben den oben aufgeführten Modulen auch noch eine andere Möglichkeit, neue Ports an einen internen Rechner weiterzuleiten. Siehe dafür auch die Beschreibung zu OPT_PORTFW (Port Forwarding). Noch ein Tip: Auf www.fli4l.de wurde speziell zum Thema Port-Forwarding eine eigene FAQ eingerichtet (auch auf der Eingangsseite).

Das h323-Modul ermöglicht IP-Telefonie über das Internet. MS-Netmeeting benutzt dieses Protokoll ebenfalls. Damit 'Anrufe' an den Client durchgestellt werden können, müssen die TCP Ports

• 389 (Internet Locator Server)
• 522 (User Location Server)
• 1503 (T.120)
• 1720 (H.323 call setup)

an den Client weitergeleitet werden (siehe OPT_PORTFW).

Zu den Konfigurationsvariablen:

MASQ_MODULE_N gibt die Anzahl der zu ladenden Masquerading-Module an. MASQ_MODULE_x gibt das x'te zu ladende Masquerading Modul an.

ie Standardeinstellung für MASQ_MODULE_N ist '1'. Damit wird nur das erste Modul, nämlich ftp, geladen. Möchte man weitere Module laden, ist MASQ_MODULE_N entsprechend zu erhöhen. Die Reihenfolge in der beigefügten Datei config/base.txt ist nur ein Beispiel. Sie kann also beliebig geändert werden, z.B.

MASQ_MODULE_N='2'
MASQ_MODULE_1='ftp'
MASQ_MODULE_2='raudio'
   

Weitere Inhalte von MASQ_MODULE_x werden einfach ignoriert.

Manchmal kann es notwendig sein, das ftp Masquerading-Modul nicht nur auf Port 21 einzusetzen. Beispielsweise, wenn eine Verbindung zu einem externen ftp-Server aufgebaut wird, der auf Port 2021 läuft.

MASQ_FTP_PORT_N gibt die Anzahl der zu Ports an, MASQ_FTP_PORT_x den x'ten Port. Verwendet man diese Parameter, so sollte der Standard-Port immer mit angegeben werden, da sonst normale ftp-Verbindungen scheitern.

Unter normalen Umständen sind keine Änderungen notwendig.