Linux als Gateway ins Internet

Lösung mit einem Proxy
Lösung mit IP-Masquerading

Oft kommte es vor, dass man nachdem man die Verbindung zum Internet hergestellt hat, diese auch von anderen Computern im Netzwerk aus benutzen will. Linux bietet hierfür mehrere Möglichkeiten, damit man mit einer dynamisch zugewiesenen IP-Adresse vom Provider auch von anderen Rechnern im Netzwerk benutzt werden kann.

!!! Warnung !!!

An dieser Stelle möchte ich jedoch noch eine Warnung aussprechen. Es sollte vor dem Einsatz einer solcher Technik geklärt werden, ob der Provider dies überhaupt duldet. Zum Beispiel kenne ich keinen Flatrate-Provider der dies nicht ausdrücklich in seinen AGB's untersagt hätte.

Für die folgenden Erklärungen, ist es nun Vorraussetzung, dass mit Linux eine Verbindung zum Internet hergestellt werden kann und diese tadellos funktioniert.

Lösung mit einem Proxy:

Die einfachste Art die Verbindung jetzt mit anderen Rechnern zu teilen, ist nun der Einsatz eines Proxy-Paketes wie z.B. Squid oder Junkbuster. Das Prinzip von einem Proxy ist sehr einfach. Der Browser stellt seine Anfrage an den Proxy und dieser holt sich die entsprechende Seite aus dem Internet und schickt eine Kopie zurück an den Browser.
Wenn man nun einen solchen Proxy installiert hat, sollte noch die Konfiguration kontrolliert werden und gegebenfalls angepasst werden. Achten sollte man hierbei z. B. auf den Proxy Port, der in der Regel auf 3128 oder 8080 voreingestellt ist. Dies sind gängige Werte für Proxys, nicht zu empfehlen ist der Port 80, weil der mit einem installierten Webserver wie der Apache kollidiert. Ausserdem muss man diesen Wert später beim einstellen des Browsers wissen. Auch sollte der maximal verwendbare Festplatten Cache zum Zwischenspeichern der HTML Seiten kontrolliert werden und eventuelle Sicherheitseinstellungen beachtet werden, das es den Clients auch möglich ist den Proxy zu benutzen. Jetzt kann der Proxy gestartet werden und die Browser der anderen Rechner können eingestellt werden.
An den Client-Computern in den Einstellungen des verwendeten Browsers muss man nun als Proxy bei allen Diensten (HTML, FTP, SECURE...) die IP des Linux Rechners und den Port den man in der Konfiguration des Proxys angegeben hat eingeben.
Dies ist nun eine recht einfache und sichere Methode mehrere Rechner gleichzeitig mit dem Internet zu verbinden. Der Nachteil dieser Lösung ist einfach, dass eigentlich nur die Dienste HTML und FTP benutzt werden können oder andere Programme, die die Eingabe eines Proxys erlauben. Dienste wie Mail oder ICQ sind damit von den Client Rechnern aus nicht oder nur über Umwege möglich.

Lösung mit IP Masquerading:

Eine sehr praktische Lösung ist das IP Masquerading mit hilfe von ipchains. Unter IP Masquerading versteht man das Verstecken (makerieren) der wirklichen Absender IP Adresse. Das bedeutet, dass ein Router die Absender Adresse eine IP Paketes durch seine IP Adresse ersetzt und das Ziel in einer Tabelle speichert. Wenn er nun die Antwort erhält tauscht er wieder die IP Adresse de Empfängers durch die aus der Tabelle und schickt das Paket an den richtigen Empfänger. Auf den Client-Computern hat man dadurch das Gefühl eine direkte Verbindung ins Internet zu haben.
Um dies zu bewerkstellingen, ist zum einen die ipchains Software notwending und zum anderen muss der Kernel mit IP Masquerading und den dazugehörigen Modulen kompiliert worden sein.
Jetzt legt man nur noch die IP Ketten fest, was in etwa wie folgendes Beispiel funktioniert:

Ipchains (Kernel V2.2)
ipchains -N user_msqAnlegen einer Kette mit dem Namen user_msg
ipchains -A user_msq -s 0/0 -d 0/0 -j MASQDefinition der alle Quell-Adressen abgehend zu allen Ziel-Adressen masquerieren
ipchains -A forward -s 10.11.87.0/24 -d 0/0 -i ippp0 -j user_msqNetzwerk 10.11.87.1 bis 10.11.87.255 abgehend nach allen Ziel-Adressen(0/0) auf Gerät ippp0 masquerieren
Iptables (Kernel V2.4)
iptables -t nat -A POSTROUTING -p all -s 10.11.87.0/24 -o ippp0 -j MASQUERADE Alle Pakete aus dem Netz 10.11.87.0/24, die über das Gerät ippp0 ausgehend verschickt werden, werden masqueriert

Die IP Masquerading Module des Kernel sollten zuvor geladen werden, falls diese nicht fest in den Kernel integriert wurden. Ausserdem muss das IP Forwarding aktiviert sein.
Der Vorteil dieser Methode ist klar, dass alle Dienste des Internets zur Verfügung stehen. Viele Linux Distributionen vorgefertigte Scripte hierzu an, als Beispiel das Paket des SuSE Deferats SuSE - Firewall arbeitet mit diesem Prinzip.

Internet Gateway
HTML Einwahl
Hylafax
Multidrop Mailfilter
HTML SMS
ISDN manuel
yaps.rc Vorwahlen
Home
steines@steines.com
Suche
  Netzwerk
Linux
Windows