linux-l: ip-forwarding oder masquerading?

[Herrmann, Volker]

> > Also ist doch Masquerading = Forwarding (sozusagen vom LAN ins
> > Internet und zurück).
> 
> Nein. Masquerading ist nur das Ändern der 
> Absender-IP-Adressen. Forwarding
> braucht man dennoch, damit das Ändern denn überhaupt Sinn 
> gemacht hat. Denn
> ohne Routing bekommt ja keiner 'was von den geänderten IPs 
> mit. ...und das
> wird durchaus nicht nur gemacht, um "interne" in eine 
> "offizielle" IP zu
> ändern. An vielen Stellen wir das auch in internen Netzen 
> gemacht, wenn
> - man das als Weg des Firewallings einsetzt  oder
> - wenn jemand seine internen Netzt schlecht geplant hat.

Um den funktionellen Unterschied zwischen reinem Routing und
Masquerading (oder Nat) zu verstehen ein kleines Beispiel. Im Lanrechner
A (mit privater IP)hat Linuxrouter R als Gateway zu einem Rechner im
Internet I. Baut A eine Verbindung auf, (indem z.B. jemand im Browser
auf eine Site klickt) gehen die IP-Pakete ueber R zu I. R tauscht bei
den IP Paketen die IP-Nummer von A gegen seine Eigene aus und routet das
Paket zu I. Bei der Antwort von I tauscht R seine IP gegen die von A aus
und routet das Paket zu A. Somit kann A zu I Verbindungen aufbauen und
merkt von dem ganzen Getausche nichts. R hat die Arbeit mit dem Tauschen
und sich zu merken welcher Stream zu welchem Rechner im Lan geht.
Wenn nun ein Rechner in Internet aber von sich aus eine Verbindung zu A
aufbauen will, landen seine IP-Pakete bei R und der weiss nicht wass er
damit machen soll, weil er sich selbst angesprochen fuehlt. Es gibt ja
nur seine eine offizielle IP-Adresse. 

Wenn im Lan statt priv.IP echte IP-Adressen vorhanden sind brauch R nur
ins oder vom Internet zu routen und Verbindungen koennen von beiden
Seiten zueinander aufgebaut werden.
Das kann erwuenscht sein (Fimenmitarbeiter greifen auf Ihre PC's zu)
oder hoechst unerwuenscht (Haecker greifen auf meinen Rechner zu).

Mit Hilfe einer Firewall koennen erlaubte und verbotene
Verbindungsaufbauten sehr differenziert gesetzt werden. Da Linux das
alles schon so prima an Faehigkeiten mitbringt hat man sehr viele
Moeglichkeiten.

> 
> > Unter Routing verstehe ich den Vorgang, Datenpäckchen von einem
> > Subnetz ins andere zu transportieren. Da Dein (privates) LAN
> > bestimmt ein anderes Subnetz hat als die Netze im Internet,
> > routest Du auch gleichzeitig.
> 
> Ja.
> 
> > Dann würde bedeuten, daß Masquerading=ip-forwarding=routing.
> > Stimmt das, was ich da erzähle?
> 
> Nein.
> Masquerading:
> 	Prozeß des Änderns von Absender-IP-Adressen, zum Zwecke, den 
> 	originalen Absender zu verbergen (weil man etwas zu 
> verbergen hat
> 	(firewalling), oder weil's nicht anders geht (intern->offiziell)
> IP-Forwarding/Routing:
> 	Weiterleiten von (IP-)Paketen
> 
> MfG, JBG
> 

IP-Forwarding ist die Faehigkeit eines Rechners Datenpackete zwischen
mehreren seiner Netzwerkdevices hin und her zu schicken, und somit die
Voraussetung fuer Routing. Also zum Beispiel zwischen eth0 und ppp0.