Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

Kapitel 11 IP-Masquerade und die Umsetzung von Netzwerkadressen

Sie erinnern sich sicher noch gut an die Zeiten, in denen es sich nur große Unternehmen leisten konnten, ihre Rechner in einem lokalen Netzwerk (LAN) miteinander zu vernetzen. Mittlerweile sind die Preise für die Netzwerktechnologien dermaßen ins Rutschen geraten, daß sich nun zwei Dinge bemerkbar machen: Erstens sind LANs heutzutage Alltagsgegenstände, die sich sogar bis in viele Haushalte hinein verbreitet haben. Zweifellos gibt es viele Linux-Anwender, die zwei oder mehrere Rechner über irgendein Ethernet miteinander vernetzt haben. Zweitens sind manche Netzwerkressourcen, besonders IP-Adressen, inzwischen Mangelware. Lange Zeit war es üblich, IP-Adressen kostenlos zu bekommen, mittlerweile muß man dafür Geld bezahlen.

Die meisten Leute mit einem LAN wollen vermutlich eine Internetverbindung haben, die jeder Rechner in ihrem LAN nutzen kann. Die IP-Routing-Regeln sind ziemlich pingelig darin, wie sie mit dieser Situation umgehen. Traditionelle Lösungen basieren auf der Vergabe von Netzwerkadressen (z.B. Klasse C) für kleine LANs, in denen jede Maschine ihre eigene IP-Adresse erhält. Über einen klassischen Router werden dann die Verbindungen vom LAN ins Internet hergestellt.

In einer kommerzialisierten Internetumgebung ist das allerdings ein teures Unterfangen. Erstens müßten Sie für die Ihnen zugewiesene Netzwerkadresse bezahlen. Außerdem müßten Sie damit rechnen, daß Ihr Internet Service Provider Sie kräftig zur Kasse bittet für das Privileg, eine angemessene Route zu Ihrem Netzwerk aufzubauen, damit der Rest des Internets weiß, wie man Sie erreichen kann. Für Firmen ist dieses Vorgehen praktikabel, aber private Netzwerke rechtfertigen die entstehenden Kosten nicht.

Glücklicherweise bietet Linux auch hier einen Ausweg aus dem Dilemma. Die Antwort findet man in Form eines Sets von erweiterten Netzwerk-Features, genannt Netzwerk-Adressenumsetzung (Network Address Translation, NAT). NAT beschreibt ein Verfahren, wie die in den Datagramm-Headern enthaltenen Netzwerkadressen während der Übertragung modifiziert werden können. Das hört sich zunächst merkwürdig an, wir werden aber sehen, daß dies für viele Anwender die ideale Lösung des beschriebenen Problems ist. IP-Masquerade ist eine Form der Netzwerk-Adressenumsetzung. Sie erlaubt allen Hosts in einem privaten Netzwerk Zugriff auf das Internet, wofür nur eine einzige offizielle IP-Adresse benötigt wird.

Mit IP-Masquerade können Sie eine private (reservierte) IP-Netzwerkadresse in Ihrem LAN benutzen, wobei Ihr Linux-basierter Router einige clevere Echtzeit-Übersetzungen von IP-Adressen und Ports durchführt. Wenn der Router ein Datagramm von einem Rechner im LAN erhält, ermittelt er den Typ des Datagramms (TCP, UDP, ICMP etc.) und modifiziert das Datagramm dergestalt, daß es so aussieht, als ob es vom Router selbst erzeugt worden wäre (und merkt sich das auch). Dann überträgt er das Datagramm ins Internet mit der einzelnen, oben erwähnten IP-Adresse. Wenn der Zielrechner das Datagramm erhält, glaubt er, daß das Datagramm vom routenden Host kam, und sendet alle Antworten an diesen zurück. Wenn die Antwort nun den Linux-Masquerade-Router erreicht, schaut dieser in seiner Tabelle der aufgenommenen Masquerade-Verbindungen nach, um festzustellen, ob dieses Datagramm für einen der LAN-Rechner bestimmt ist. Falls dem so ist, kehrt er die Modifikationen um, die er auf dem Hinweg durchgeführt hatte, und leitet das Datagramm an den LAN-Rechner weiter.

Ein einfaches Beispiel ist in Abbildung 11.1 dargestellt.

Abbildung 11.1: Eine typische IP-Masquerade-Konfiguration

Angenommen, wir haben ein kleines Ethernet, das eine der reservierten Netzwerkadressen benutzt. Für den Zugang ins Internet benutzt das Netzwerk einen Linux-basierten Masquerade-Router. Eine der Workstations im Netzwerk (192.168.1.3) möchte nun eine Verbindung zum Remote-Host 209.1.106.178 an Port 8888 aufnehmen. Sie schickt ihr Datagramm zum Masquerade-Router, der erkennt, daß für dieses Datagramm Masquerading-Dienste benötigt werden. Er akzeptiert das Datagramm, bestimmt eine Portnummer (1035), ersetzt die IP-Adresse und Portnummer des Datagramms durch seine eigene IP-Adresse und die ermittelte Portnummer und überträgt das modifizierte Datagramm an die Zieladresse. Der Ziel-Host meint, er hätte die Verbindungsanforderung direkt vom Masquerade-Router bekommen, und sendet ein Antwort-Datagramm zurück. Sobald der Masquerade-Router diese Antwort erhält, schaut er in seiner Masquerade-Tabelle nach und kehrt die eben durchgeführte Substitution um und leitet das so modifizierte Antwort-Datagramm an die betreffende Workstation weiter.

Der lokale Host hat den Eindruck, er würde direkt mit dem fernen Host kommunizieren. Dieser weiß überhaupt nichts über den lokalen Host und glaubt, er wäre nur mit dem Linux-Masquerade-Router verbunden. Der Linux-Router weiß aber, daß sich beide Hosts miteinander unterhalten und an welchen Ports sie das machen, und kann daher die notwendigen Umrechnungen von IP-Adressen und Portnummern durchführen, um die Kommunikation zwischen den beteiligten Hosts aufrechtzuerhalten.

Das mag vielleicht ein wenig konfus wirken, manchmal tatsächlich sogar sein, aber es funktioniert und ist sogar recht einfach zu konfigurieren. Machen Sie sich daher keine Sorgen, wenn Sie noch nicht alle Details verstanden haben.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center