linux-l: ip-forwarding oder masquerading?

[Dirk Marciniak]

Martin Drescher wrote:
> 
> was ist denn nun sinnvoller / anders /besser fuer einen proxy als teil
> einer firewall: masquerading oder ip-forwarding?

<gg>
Proxy heißt Stellvertreter. Alles KLar?
Wenn Du einen Proxy hast, brauchste für http kein forwarding. Der Proxy als Teil
der Firewall bedeutet, daß der User nur mit dem Proxy kommunizieren kann, und
der Proxy dann seinerseits für die vieeelen User als Stellvertreter im Netz
rumwurstelt. Hat diverse Vorteile, nicht nur Sicherheit. 
Masquerading geht einen anderen Weg. Das maskiert (masquerade) den Netzverkehr
"innen", so daß es von außen so scheint, als würde nur der Masquerade-Rechner im
Netz "außen" agieren. Von Außen kommt man nicht nach innen. Nur angeforderte
Antworten (von "innen" angefordert") werden nach "innen" weitergeleitet, da der
Masquerade-Rechner "weiß" woher die Anfrage stammte. Der fürht innen eine
Tabelle, wo er das zuordnet. Proxy und Masquerade zusammen ist Klasse. 
Firewall allgemein ist halt eine Feuerwand, die das Innere Netz gegen das Äußere
abschirmt. Da werden dann Regeln aufgestellt (IN OUT und FORWARD-Regeln), die
für den Netzverkehr auf der Firewall gelten. Da kann man dann Bereichtugungen
genereller Art, oder spezielle Regeln vergeben. Das ist ein ziemlich
kompliziertes Verfahren, wenn man ganz diffiziel Rechte vergeben will. Verlangt
auch von Profis einiges. Leicht ist es, wenn man z.B. nur ankommenden Verkerh
(also von außen nach innen) verbieten will. Dann verbietet man einfach die Ports
0.1024 für alle Protokolle auf der "außeren" Netzkarte ankommend.
ip-forwarding ist routen. Der "Router" (alle Funktionen können auf einem
physischen Rechner laufen, müssen aber nicht) schickt IP-Pakete, die nicht als
Ziel das lokale Netzwerk haben, nach bestimmten Regeln weiter. (in andere Netze
oder Netzsegmente, oder an andere Router). Router sind quasi selbstwählende
Vermittlungsstellen. Der Client schickt einfach Pakete, deren Ziel er nicht
erreichen kann an den router, und der muß sich den Kopf machen. Ist natürlich
vereinfacht gesagt, aber trifft den Kern. Man kann das auch steuern. Aber das
ist dann inicht so in zwei Zeilen erläutert. Dann gibts da noch das
RIP-Protokoll, da "unterhalten" sich router dann miteinander, und finden
selbsttätig die beste route....


> mir ist leider so ein bischen unklar, in was sich diese dinge denn nun
> praktisch unterscheiden. soweit ich das verstehe (hoffentlich) muss bei
> einem privaten lan mit ip 192.168. masquerading her, bei offiziellen
> kann?? aber wann sowieso offizielle ip's, warum nicht nur routing??
> fragen ueber fragen.

<eg> Tja, eigentlich kannste ohne masquerading, wenn Du nur http, ftp und mail
willst. 
Da brauchste dann sendmail (oder ähnlich) einen Proxy (z. B. squid) und einen
Wählverbindung ins Netz. Masquerading brauchste eigentlich nur für andere
Protokolle (z. B. telnet oder rlogin oder irc). 
Da kann ich Dir auch nur das net-howto bzw. masquerading-howto empfehlen. Oder
Grundlagenstudium TCP/IP. Mein Lieblingsbuch hat diesen Titel und ist von
O´Reilly.

> ps: meine schreibtischlampe tut's nicht mehr, was soll ich tun ;-)

Nu iss aber gut..... ;-)


-- 

 mit freundlichen Grüßen
 Dirk Marciniak
 Velten, Brandenburg, Germany
 registered linux user #132747 
-EOF