Vorherige Seite | Nächste Seite | Inhalt |
/etc/ipnat.conf
Datei aussehen mussIPNAT
über ein Dial-Up NetzwerkNetwork Address Translation (oder 'NAT') ist zusammen mit IPfilter standardgemäss Teil des Kernel. NAT nimmt eine IP Adresse und übersetzt diese in eine andere auf einem anderen Netzwerk Interface. Dies wird häufig auch als 'masquerading' bezeichnet.
Glücklicherweise -- sowohl für Sie (der erschöpfte Leser), als auch für mich (der erschöpfte Autor) -- ist die Konfiguration von NAT sehr einfach, besonders in unserem Beispiel.
/etc/ipnat.conf
Datei aussehen muss
(zurück)
map ep0 172.16.0.0/16 -> 216.68.250.60/32 proxy port ftp ftp/tcp map ep0 172.16.0.0/16 -> 216.68.250.60/32 portmap tcp/udp 10000:20000 map ep0 172.16.0.0/16 -> 216.68.250.60/32
Als erstes funktionieren wir als Proxy für FTP auf dem ep0 Interface. Die nächste Zeile besagt, dass sämtlicher TCP/UDP Traffic übersetzt und bei jeder Verbindung nach draussen ein Port zwischen 10000 und 20000 zugewiesen werden soll. Die letzte Zeile übersetzt alle Adressen von 172.16.0.0/16 einfach nach 216.68.250.60/32. Für unser Beispiel ist dies alles was wir benötigen -- wenn Sie also unter Zeitdruck stehen, Ihren Firewall fertig zu stellen, ist der folgende Teil nicht unbedingt für Sie von Interesse.
map fxp0 216.68.250.60/32 -> 172.16.14.1/32 (und was Sie hier so brauchen)
Dies kann nützlich sein, wenn Sie eine Verbindung zu einem speziellen Server (wie z. B. einem Webserver) innerhalb des lokalen Netzwerks erstellen wollen. In unserem DMZ Beispiel (zur Erinnerung: unser Überblick) kann es sein, dass wir von aussen in die DMZ eine Verbindung erstellen wollen. Des Weiteren kann dies als ein "Router für Arme" fungieren und mehrere interne Netzwerke miteinander verbinden -- doch gibt es da bessere Lösungen.
Stattdessen finden die meisten Administratorinnen lieber die Adresse des
Webservers innerhalb der DMZ heraus und nutzen dann ipfilter
um
sicherzustellen, dass nur HTTP und SSH Verbindungen möglich sind.
Wenn Sie genau hinsehen, werden Sie feststellen, dass alle ausgehenden Verbindungen zu einer einzelnen IP Adresse übersetzt werden. Was, wenn Sie mehrere nutzen wollten? Dies ist einfach durch die folgene Änderung möglich:
map ep0 172.16.0.0/16 -> 216.68.250.0/24
Natürlich kann auch die Portmap Spanne Ihrem Bedarf angepasst werden.
IPNAT
über ein Dial-Up Netzwerk
(zurück)
Viele Leute nutzen Dial-Up Verbindungen von zu Hause um ins Internet zu
gehen. Dial-Up Verbindungen werden gewöhnlich dynamische IP Adressen beim
Verbindungsaufbau zugewiesen. Auf den ersten Blick mag es so aussehen, als
müsste diese neue Adresse nun der Datei /etc/ipnat.conf
hinzugefügt werden. Glücklicherweise ist dies nicht der Fall.
Beachten Sie, wie die Adressen auf der Internet Seite in
ipnat.conf
genutzt werden. Ganze Subnets können wie folgt
genutzt werden:
map ep0 172.16.0.0/16 -> 216.68.0.0/16
Dies besagt, dass Adressen aus dem 172.16.0.0/16 Netzwerk in irgendeine Adresse aus dem 216.68.0.0/16 Netzwerk übersetzt werden sollen. Unter Beachtung dessen, und angesichts der Tatsache, dass Sie bei Dial-Up Verbindungen immer eine Adresse zugewiesen bekommen, bezwecken die folgen Einträge das Gleiche:
map ppp0 172.16.0.0 -> 0/32 proxy port ftp ftp/tcp map ppp0 172.16.0.0 -> 0/32 portmap tcp/udp 40000:60000 map ppp0 172.16.0.0 -> 0/32
Hier übersetzen wir alles aus 172.16.0.0 auf die eine Adresse, die unser Interface dann haben wird.
Vorherige Seite | Nächste Seite | Inhalt |
|
|