Product SiteDocumentation Site

Kapitel 10. Netzwerk-Infrastruktur

10.1. Gateway
10.2. Virtual Private Network
10.2.1. OpenVPN
10.2.2. Virtual Private Network mit SSH
10.2.3. IPsec
10.2.4. PPTP
10.3. Quality of Service
10.3.1. Prinzip und Mechanismus
10.3.2. Konfigurieren und Ausführen
10.4. Dynamisches Routing
10.5. IPv6
10.5.1. Tunneln
10.6. Domain Name Server (DNS)
10.6.1. Prinzip und Mechanismus
10.6.2. Konfigurieren
10.7. DHCP
10.7.1. Konfigurieren
10.7.2. DHCP und DNS
10.8. Werkzeuge für die Netzwerk-Diagnose
10.8.1. Lokale Diagnose: netstat
10.8.2. Entfernte Diagnose: nmap
10.8.3. Netzwerk-Sniffer: tcpdump und wireshark
Linux stellt das ganze Unixerbe an Netzwerkfunktionalität zur Verfügung und Debian bietet einen kompletten Satz an Werkzeugen, um ein Netzwerk aufzubauen und zu verwalten. In diesem Kapitel werden diese Werkzeuge besprochen.

10.1. Gateway

Ein Gateway ist ein System, das mehrere Netzwerke verbindet. Dieser Ausdruck bezieht sich häufig auf den "Ausgang" eines lokalen Netzwerks auf dem vorgeschriebenen Pfad zu externen IP-Adressen. Das Gateway ist mit jedem der Netzwerke verbunden, die es verbindet, und routet IP-Pakete zwischen verschiedenen Schnittstellen.
Wenn ein lokales Netzwerk einen privaten Adressbereich verwendet (im Internet nicht erreichbar), muss das Gateway Addressen-Masquerading anwenden, damit die Rechner im Netzwerk mit der Außenwelt kommunizieren können. Das Masquerading ist eine Art Proxy-Verfahren auf Netzwerk-Ebene: Jede von einem internen Rechner ausgehende Verbindung wird durch eine Verbindung vom Gateway selbst ersetzt (da das Gateway eine externe, erreichbare Adresse hat). Durch die maskierte Verbindung gehende Daten werden an die neue Adresse gesendet; Antwortdaten werden durch die maskierte Verbindung an den internen Rechner geschickt. Das Gateway verwendet eine Reihe fest zugeordneter TCP-Ports, gewöhnlich mit sehr hohen Nummern (über 60000). Jede von einem internen Rechner kommende Verbindung erscheint der Außenwelt dann so, als käme sie von einem dieser reservierten Ports.
Das Gateway kann auch zwei Arten von Network Address Translation (oder kurz NAT genannt) durchführen. Die erste Art, Destination NAT (DNAT), ist ein Verfahren zur Änderung der Ziel-IP-Adresse (oder des TCP- beziehungsweise UDP-Ports) für eine (gewöhnlich) ankommende Verbindung. Der Mechanismus zur Verbindungsverfolgung ändert auch die innerhalb derselben Verbindung nachfolgenden Pakete, um Kontinuität in der Kommunikation sicherzustellen. Die zweite Art des NAT ist Source NAT (SNAT), bei dem das Masquerading ein besonderer Fall ist; SNAT ändert die Ausgangs-IP-Adresse (oder den TCP- beziehungsweise UDP-Port) einer (gewöhnlich) abgehenden Verbindung. Wie beim DNAT werden alle Pakete innerhalb der Verbindung durch den Verbindungsverfolgungsmechanismus behandelt. Beachten Sie, dass NAT nur für IPv4 und seinen begrenzten Adressraum gültig ist; bei IPv6 vermindert die groSZe Anzahl von Adressen den Nutzen des NAT erheblich, da es zulässt, dass alle "internen" Adressen direkt ins Internet geleitet werden (dies bedeutet nicht, dass interne Rechner zugänglich sind, da dazwischenliegende Firewalls den Datenverkehr filtern können).
Genug der Theorie. Um aus einem Debian-System ein Gateway zu machen, genügt es die passende Option im Linux-Kernel zu aktivieren. Dies geschieht im virtuellen /proc/-Verzeichnis:
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
Diese Option kann automatisch beim Booten gesetzt werden, wenn man in /etc/sysctl.conf die Option net.ipv4.conf.default.forwarding auf 1 setzt.

Beispiel 10.1. Die Datei /etc/sysctl.conf

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
Derselbe Effekt kann für IPv6 durch einfaches Ersetzen von ipv4 durch ipv6 im manuellen Befehl und durch Verwendung der Zeile net.ipv6.conf.all.forwarding in /etc/sysctl.conf erreicht werden.
Die Konfiguration von IPv4-Masquerading ist etwas schwieriger, und schließt die Konfiguration der netfilter-Firewall ein.
Auch NAT (für IPv4) erfordert die Konfiguration von netfilter. Da der Hauptzweck dieser Komponente im Filtern von Paketen besteht, sind die Einzelheiten in Kapitel 14: „Sicherheit aufgeführt (siehe Abschnitt 14.2, „Firewall oder Paketfilter“).