Jak za³o¿yæ maskowanie IP czyli IP-Masquerade. Autor: Ambrose Au, ambrose@writeme.com v1.20, 10 Listopada 1997 WWeerrssjjaa ppoollsskkaa:: BBaarrttoosszz MMaarruusszzeewwsskkii BB..MMaarruusszzeewwsskkii@@jjttzz..oorrgg..ppll v1.0, 23 Wrze¶nia 1998 Dokument ten opisuje jak w³±czyæ maskowanie IP na ho¶cie linux-owym, pozwalaj±c tym samym na dostêp do Internetu komputerom pod³±czonym do tego Linux-a i nie posiadaj±cym w³asnego adresu IP. ______________________________________________________________________ Spis tre¶ci 1. Wprowadzenie. 1.1 S³owo wstêpne, komentarze & prawa. 1.2 Prawa autorskie i zastrze¿enia. 1.3 Od t³umacza. 2. Podstawowa wiedza. 2.1 Co to jest maskowanie IP. 2.2 Obecny stan. 2.3 Kto mo¿e mieæ korzy¶ci z maskowania IP? 2.4 Kto nie potrzebuje maskowania IP? 2.5 Jak dzia³a maskowanie IP? 2.6 Wymagania dla maskowania IP na Linuksie 2.x. 3. Ustawianie maskowania IP. 3.1 Kompilacja j±dra dla obs³ugi maskowania. 3.2 Przypisywanie adresów IP w prywatnej sieci. 3.3 Konfiguracja INNYCH maszyn. 3.3.1 Konfiguracja windows 95. 3.3.2 Konfiguracja Windows for Workgroups 3.11. 3.3.3 Konfiguracja Windows NT. 3.3.4 Konfiguracja systemów unix-owych. 3.3.5 Konfiguracja DOS-a z pakietem NCSA Telnet. 3.3.6 Konfiguracja MacOS z MacTCP. 3.3.7 Konfiguracja systemów MacOS z Open Transport. 3.3.8 Konfiguracja sieci Novell z DNS-em. 3.3.9 Konfiguracja OS/2 Warp. 3.3.10 Konfigurowanie innych systemów. 3.4 Konfiguracja zasad forwardingu IP. 3.5 Testowanie maskowania. 4. Inne sprawy zwi±zane z maskowaniem IP i obs³uga oprogramowania. 4.1 Problemy z maskowaniem IP. 4.2 Wchodz±ce serwisy. 4.3 Obs³ugiwane oprogramowanie klienckie i uwagi o innych ustawieniach. 4.3.1 Oprogramowanie, które dzia³a. 4.3.2 Oprogramowanie nie dzia³aj±ce. 4.3.3 Przetestowane platformy/systemy operacyjne jako INNE maszyny. 4.4 Administracja Firewall-em IP (ipfwadm) 4.5 Maskowanie IP i dzwonienie na ¿±danie. 4.6 Pakiet do przekazywania IPautofw. 5. Ró¿no¶ci. 5.1 Zdobywanie pomocy. 5.2 Podziêkowania. 5.3 Odwo³ania. ______________________________________________________________________ 11.. WWpprroowwaaddzzeenniiee.. Dokument ten opisuje jak w³±czyæ maskowanie IP na ho¶cie linux-owym, pozwalaj±c tym samym na dostêp do Internetu komputerom pod³±czonym do tego Linux-a i nie posiadaj±cym w³asnego adresu IP. Mo¿liwe jest pod³±czenie tych komputerów do Linux-a poprzez Ethernet czy inne medium jak linie dzwonione ppp. Dokument ten skupi siê na po³±czeniach Ethernet, poniewa¿ jest to najbardziej rozpowszechniony przypadek. DDookkuummeenntt tteenn jjeesstt pprrzzeezznnaacczzoonnyy ddllaa uu¿¿yyttkkoowwnniikkóóww jj±±ddeerr 22..00..xx.. JJ±±ddrraa ww wweerrssjjii rroozzwwoojjoowweejj NNIIEE ss±± ooppiissaannee.. 11..11.. SS³³oowwoo wwssttêêppnnee,, kkoommeennttaarrzzee && pprraawwaa.. Za³o¿enie maskowania na nowszych j±drach (tj. 2.x) bêd±c nowym u¿ytkownikiem, jest trochê trudne moim zdaniem. Chocia¿ jest FAQ i lista dyskusyjna, nie ma ¿adnego specjalnie dla tego tematu przeznaczonego dokumentu; a pojawiaj± siê na li¶cie dyskusyjnej ¿±dania o takowy. Tak wiêc zdecydowa³em siê napisaæ taki dokument jako punkt oparcia dla nowych u¿ytkowników, i pewnie tak¿e co¶ dla do¶wiadczonych u¿ytkowników, którzy mog± go dalej rozbudowywaæ. Je¶li s±dzisz, ¿e nie robiê tego ¼le, to nie bój siê mi tego powiedzieæ, jak mogê to zrobiæ lepiej. Dokument ten jest w du¿ej mierze oparty o oryginalne FAQ napisane przez Kena Evesa i du¿± liczbê pomocnych wiadomo¶ci z listy dyskusyjnej o maskowaniu IP. Specjalne podziêkowania nale¿± siê Panu Matthew Driverowi, którego to list zainspirowa³ mnie do zainstalowania maskowania IP i napisania tego. Nie krêpuj siê napisaæ mi jakiekolwiek komentarze na adres ambrose@writeme.com, je¶li podaje jakie¶ b³êdne informacje lub jakiej¶ informacji brakuje. Wasze nieocenione komentarze na pewno wp³yn± na przysz³o¶æ tego HOWTO! TToo HHOOWWTTOO mmaa bbyyææ ppooddrrêêcczznniikkiieemm ppoommooccnnyymm ddoo jjaakk nnaajjsszzyybbsszzeeggoo uussttaawwiieenniiaa mmaasskkoowwaanniiaa IIPP.. PPoonniieewwaa¿¿ nniiee mmaamm pprraakkttyykkii ww ppiissaanniiuu tteecchhnniicczznnyycchh ddookkuummeennttóóww,, mmoo¿¿eesszz ssttwwiieerrddzziiææ,, ¿¿ee iinnffoorrmmaaccjjee zzaawwaarrttee ttuuttaajj nniiee ss±± ttaakkiiee ooggóóllnnee ii oobbiieekkttyywwnnee jjaakk ppoowwiinnnnyy bbyyææ.. NNaajjnnoowwsszzee iinnffoorrmmaaccjjee mmoo¿¿nnaa zznnaallee¼¼ææ nnaa ssttrroonniiee ZZaassoobbyy IIPP--MMaassqquueerraaddee <<http://ipmasq.home.ml.org/>, któr± prowadzê. Je¶li masz jakie¶ techniczne pytania na temat maskowania, dopisz siê do listy dyskusyjnej zamiast wysy³aæ listy do mnie, poniewa¿ mój czas jest ograniczony oraz ci którzy rozwijaj± kod maskowania s± bardziej kompetentni do odpowiedzi na te pytania. Najnowsza wersja orygina³u tego dokumentu znajduje siê na stronie Zasoby IP Masquerade <http://ipmasq.home.ml.org/>, gdzie s± tak¿e wersje HTML i PostScript: · http://ipmasq.home.ml.org/ · pod adresem http://ipmasq.home.ml.org/index.html#mirror <http://ipmasq.home.ml.org/index.html#mirror> znajduje siê lista kopii tej strony · [Od t³umacza] Oczywi¶cie najnowsze wersje t³umaczenia znajdziesz po adresem www.jtz.org.pl <http://www.jtz.org.pl/tlumaczenia.html>. 11..22.. PPrraawwaa aauuttoorrsskkiiee ii zzaassttrrzzee¿¿eenniiaa.. Prawa autorskie nale¿± do Ambrose Au (C) 1996 i jest to dokument wolnodostêpny. Mo¿na go rozprowadzaæ na zasadach licencji GNU GPL. Informacje i ca³a zawarto¶æ tego dokumentu s± najlepsze o których wiem. Jednak maskowanie IP jest _e_k_s_p_e_r_y_m_e_n_t_a_l_n_e i mo¿liwe, ¿e zrobiê jaki¶ b³±d. Tak wiêc powiniene¶ siê zastanowiæ czy chesz stosowaæ informacje z tego dokumentu. Nikt nie jest odpowiedzialny za jakiekolwiek szkody czy zniszczenia wynik³e z u¿ywania informacji tutaj zawartych, tj: AAUUTTOORR NNIIEE JJEESSTT OODDPPOOWWIIEEDDZZIIAALLNNYY ZZAA JJAAKKIIEEKKOOLLWWIIEEKK ZZNNIISSZZCCZZEENNIIAA PPOOWWSSTTAA££EE NNAA SSKKUUTTEEKK DDZZIIAA££AAÑÑ PPOODDJJÊÊTTYYCCHH NNAA PPOODDSSTTAAWWIIEE IINNFFOORRMMAACCJJII ZZ TTEEGGOO DDOOKKUUMMEENNTTUU.. 11..33.. OOdd tt³³uummaacczzaa.. T³umaczenie to jest chronione prawami autorskimi © Bartosza Maruszewskiego. Dozwolone jest rozprowadzanie i dystrybucja na prawach takich samych jak dokument oryginalny. Je¶li znalaz³e¶ jakie¶ ra¿±ce b³êdy ortograficzne, gramatyczne, sk³adniowe, techniczne to pisz do mnie: B.Maruszewski@jtz.org.pl Oficjaln± stron± t³umaczeñ HOWTO jest http://www.jtz.org.pl/ Aktualne wersje przet³umaczonych dokumentów znajduj± siê na tej¿e stronie. Dostêpne s± tak¿e poprzez anonimowe ftp pod adresem ftp.jtz.org.pl w katalogu /JTZ/. Przet³umaczone przeze mnie dokumenty znajduj± siê tak¿e na mojej stronie WWW. <http://www.jtz.org.pl/bartek/tlumaczenie.html> S± tam te¿ odwo³ania do Polskiej Strony T³umaczeniowej. Kontakt z nasz± grup±, grup± t³umaczy mo¿esz uzyskaæ poprzez listê dyskusyjn± jtz@jtz.org.pl. Je¶li chcesz sie na ni± zapisaæ, to wy¶lij list o tre¶ci subscribe jtz Imiê Nazwisko na adres majordomo@ippt.gov.pl Zmiany wprowadzone przez t³umacza: · odwo³ania do polskich serwerów FTP · dodane odwo³anie do Diald mini HOWTO · odwo³ania do JTZ 22.. PPooddssttaawwoowwaa wwiieeddzzaa.. 22..11.. CCoo ttoo jjeesstt mmaasskkoowwaanniiee IIPP.. Jest to funkcja sieciowa w fazie rozwoju w Linuksie. Je¶li na pod³±czonym do Internetu Linux-ie jest w³±czone maskowanie, to komputery ³±cz±ce siê z nim (czy to w tej samej sieci czy te¿ przez modem) mog± tak¿e po³±czyæ siê z Internetem, pomimo i¿ _n_i_e _m_a_j_± _s_w_o_j_e_g_o _o_f_i_c_j_a_l_n_e_g_o _n_u_m_e_r_u _I_P. Pozwala to grupom maszyn ukrytych za gateway-em, który wydaje siê byæ jedynym komputerem ³±cz±cym siê z Internetem, na _n_i_e_w_i_d_z_i_a_l_n_y dostêp do Internetu. Z³amanie zabezpieczeñ dobrze skonfigurowanego systemu maskowania powinno byæ trudniejsze od z³amania dobrego firewall-a opartego na filtrowaniu pakietów (zak³adaj±c, ¿e w obu nie ma b³êdów software'owych). 22..22.. OObbeeccnnyy ssttaann.. Maskowanie IP jest nadal w fazie eksperymentalnej. Jednak, j±dra od wersji 1.3.x maj± ju¿ wbudowan± obs³ugê. Wiele osób prywatnych jak i instytucji u¿ywa go z zadowalaj±cym rezultatem. Przegl±danie sici WWW oraz us³uga telnet dzia³aj± wed³ug zg³oszeñ dobrze. FTP, IRC i s³uchanie Real Audio dzia³aj± po za³adowaniu pewnych modu³ów. Inne systemy przekazu audio jak True Speech czy Internet Wave tak¿e dzia³aj±. Niektórzy z listy dyskusyjnej próbowali nawet konferencji wideo. Po zaaplikowaniu najnowszej ³aty ICMP dzia³a tak¿e ping. Dok³adniejsz± listê dzia³aj±cego oprogramowania znajdziesz w sekcji 4.3. Maskowanie IP dzia³a dobrze z klientami na kilku ró¿nych systemach operacyjnych i platformach. Pozytywne przypadki odnotowano z Unix-em, Windows 95, Windows NT, Windows for Workgroups (z pakietem TCP/IP), OS/2, Macintosh System's OS z Mac TCP, Mac Open Transport, DOS z pakietem NCSA Telnet, VAX, Alpha z Linux-em i nawet Amiga z AmiTCP czy ze stosem AS225. 22..33.. KKttoo mmoo¿¿ee mmiieeææ kkoorrzzyy¶¶ccii zz mmaasskkoowwaanniiaa IIPP?? · Je¶li masz Linux-a pod³±czonego do Internetu i · je¶li masz kilka komputerów z TCP/IP pod³±czonych do tego Linux-a w lokalnej podsieci i/lub · je¶li twój Linux posiada wiêcej ni¿ jeden modem i odgrywa rolê serwera PPP czy SLIP dla innych, którzy to · iinnnnii nie maj± oficjalnego numeru IP (te maszyny s± reprezentowane tutaj jako INNE) · i oczywi¶cie chcesz, ¿eby te INNE maszyny tak¿e mia³y dostêp do Internetu bez dodatkowych kosztów :) 22..44.. KKttoo nniiee ppoottrrzzeebbuujjee mmaasskkoowwaanniiaa IIPP?? · Je¶li twoja maszyna jest samotnym Linux-em pod³±czonym do Internetu, wtedy maskowanie IP jest bezcelowe. · Je¶li masz ju¿ adresy IP dla swoich IINNNNYYCCHH maszyn, wtedy nie potrzebujesz maskowania. · I oczywi¶cie, je¶li nie podoba ci siê pomys³ 'darmowej przeja¿d¿ki'. 22..55.. JJaakk ddzziiaa³³aa mmaasskkoowwaanniiee IIPP?? Wziête z IP-Maquerade FAQ autorstwa Kena Evesa: Oto rysunek przedstawiaj±cy najprostszy przypadek: SLIP/PPP +------------+ +-------------+ do prowajdera | Linux | SLIP/PPP | Cokolwiek | <---------- modem1| |modem2 ----------- modem | | 111.222.333.444 | | 192.168.1.100 | | +------------+ +-------------+ Na powy¿szym rysunku Linux z zainstalowanym i dzia³aj±cym maskowaniem jest po³±czony z Internetem poprzez SLIP lub PPP przez modem1. Ma on przypisany adres IP 111.222.333.444. Istnieje te¿ mo¿liwo¶æ po³±czenia siê z nim poprzez ³±cze dzwonione SLIP/PPP przez modem2. Drugi system (który nie musi byæ Linux-em) wdzwania siê do Linux-a i otwiera po³±czenie SLIP/PPP. NIE ma on przypisanego adresu IP w Internecie wiêc u¿ywa 192.168.1.100 (zobacz poni¿ej). Z poprawnie skonfigurowanymi maskowaniem IP i routing-iem Cokolwiek mo¿e po³±czyæ siê z Internetem jak gdyby rzeczywi¶cie by³o pod³±czone (z kilkoma wyj±tkami). Cytat Pauline Middelink: Nie zapomnij wspomnieæ, ¿e Cokolwiek powinno mieæ jako gateway Linux-a (czy to bêdzie domy¶lny routing czy tylko podsieæ nie ma znaczenia). Je¶li Cokolwiek nie mo¿e tego zrobiæ, Linux powinien dzia³aæ jako proxy arp dla wszystkich routowanych adresów, ale ustawianie proxy arp jest poza obszarem tego dokumentu. Nastêpuj±ce jest wyj±tkiem z postu na grupie comp.os.linux.networking, który zosta³ poddany edycji, aby nazwy u¿yte w przyk³adzie powy¿ej pasowa³y: o Informujê Cokolwiek, ¿e mój Linux ze SLIP-em jest jego gatewayem. o Kiedy nadejdzie do Linux-a pakiet z Cokolwiek, zostanie mu nadany nowy numer portu ¼ród³owego oraz dodany adres Linux-a w nag³ówku pakietu z zachowaniem orygina³u. Potem Linux wy¶le ten pakiet w ¶wiat przez SLIP/PPP. o Kiedy nadejdze do Linux-a pakiet ze ¶wiata, je¶li numer portu jest jednym z nadanych powy¿ej, zostanie nadany mu oryginalny port i adres IP i pakiet ten zostanie przes³any do Cokolwiek. o Host, który wys³a³ pakiet nigdy nie bêdzie widzia³ ró¿nicy. PPrrzzyykk³³aadd MMaasskkoowwaanniiaa IIPP. Oto typowy przyk³ad: +----------+ | | Ethernet | komp1 |:::::: | |2 :192.168.1.x +----------+ : : +----------+ ³±cze +----------+ : 1| Linux | PPP | | ::::| masq-gate|:::::::::// Internet | komp2 |:::::: | | | |3 : +----------+ +----------+ : : +----------+ : | | : | komp3 |:::::: | |4 +----------+ <-Sieæ wewnêtrzna-> W tym przyk³adzie s± 4 komputrery, na których siê skupili¶my (najpewniej jest jeszcze co¶ daleko na prawo, przez co przechodzi twoje po³±czenie z Internetem, i jest co¶ (daleko poza stron±) w Internecie, z czym by¶ chcia³ siê komunikowaæ). Linux masq-gate jest gateway-em z maskowaniem dla wewnêtrznej sieci z³o¿onej z komp1, komp2 i komp3, które chc± siê dostaæ do Internetu. Sieæ wewnêtrzna u¿ywa jednego z adresów do prywatnego u¿ytku, w tym przypadku sieci klasy C 192.168.1.0, z Linux-em posiadaj±cym adres 192.168.1.1 i innymi systemami posiadaj±cymi adresy w tej sieci. Trzy maszyny komp1, komp2 i komp3 (które, przy okazji, mog± byæ jakimkolwiek innym systemem rozumiej±cym IP - jak np.: WWiinnddoowwss 9955, MMaacciinnttoosshh MMaaccTTCCPP czy nawet kolejny Linux) mog± po³±czyæ siê z innymi maszynami w Internecie, jednak system maskowania masq-gate zamienia wszystkie ich po³±czenia, tak ¿eby wygl±da³y jakby pochodzi³y z masq- gate i zajmuje siê tym, aby dane przychodz±ce spowrotem do po³±czenia maskowanego zosta³y przekazane do odpowiedniego systemu - tak wiêc systemy w wewnêtrznej sieci widz± bezpo¶rednie po³±czenie z Internetem i s± nie¶wiadome, ¿e ich dane s± zmieniane. 22..66.. WWyymmaaggaanniiaa ddllaa mmaasskkoowwaanniiaa IIPP nnaa LLiinnuukkssiiee 22..xx.. **** NNaajjnnoowwsszzee iinnffoorrmmaaccjjee zznnaajjddzziieesszz nnaa ssttrroonniiee zzaassoobbóóww ddllaa mmaasskkoowwaanniiaa <<http://ipmasq.home.ml.org/>. Trudno jest czêsto uaktualniaæ HOWTO.** · ¬ród³a j±dra w wersji 2.0.x z ftp.icm.edu.pl <ftp://ftp.icm.edu.pl/pub/Linux/kernel/v2.0/> (Tak, bêdziesz musia³ sobie skompilowaæ j±dro z pewnymi dodatkami. Zalecana jest najnowsza stabilna wersja.) · Modu³y j±dra, najlepiej 2.0.0 lub nowsze dostêpne z ftp.icm.edu.pl <ftp://ftp.icm.edu.pl/pub/Linux/kernel/v2.0/> (modules-1.3.57 jest najstarsz± mo¿liw± wersj±) · Dobrze skonfigurowana sieæ TCP/IP. Jest to omówione w NET-3-HOWTO <http://www.jtz.org.pl/Html/NET-3-HOWTO.pl.html> (dostêpnym w j. polskim) oraz w Network Administrator's Guide <http://sunsite.icm.edu.pl/pub/Linux/Documentation/LDP/nag/nag.html>. · Po³±czenie z Internetem dla twojego Linux-a. Omówione w ISP-Hookup-HOWTO <http://www.jtz.org.pl/Html/ISP-Hookup- HOWTO.pl.html> (dostêpne w j. polskim), PPP-HOWTO <http://www.jtz.org.pl/Html/PPP-HOWTO.pl.html> (dostêpne w j. polskim) oraz PPP-over-ISDN mini-HOWTO <http://sunsite.icm.edu.pl/pub/Linux/Documentation/HOWTO/mini/PPP- over-ISDN>. · ipfwadm 2.3 lub nowszy dostêpny z ftp.icm.edu.pl <ftp://ftp.icm.edu.pl/pub/Linux/distributions/slackware/source/n/tcpip2/> Wiêcej informacji na temat wymaganej wersji znajduje siê na stronie o ipfwadm <http://www.xos.nl/linux/ipfwadm/>. · Mo¿esz opcjonalnie na³o¿yæ kilka ³at do maskowania, aby w³±czyæ dodatkowe mo¿liwo¶ci. Wiêcej informacji znajdziesz na stronie zasobów dla maskowania <http://ipmasq.home.ml.org/> (³aty te mo¿na nak³adaæ na wszystkie wersje j±dra 2.0). 33.. UUssttaawwiiaanniiee mmaasskkoowwaanniiaa IIPP.. JJee¶¶llii ttwwoojjaa pprryywwaattnnaa ssiieeææ zzaawwiieerraa jjaakkiiee¶¶ wwaa¿¿nnee iinnffoorrmmaaccjjee,, ppoommyy¶¶ll ttrroocchhêê zzaanniimm zzaacczznniieesszz kkoorrzzyyssttaaææ zz mmaasskkoowwaanniiaa.. MMoo¿¿ee ttoo bbyyææ ttwwoojjaa bbrraammaa ddoo IInntteerrnneettuu,, aallee ttaakk¿¿ee bbrraammaa ddoo ttwwoojjeejj ssiieeccii ddllaa kkooggoo¶¶ zz zzeewwnn±±ttrrzz.. 33..11.. KKoommppiillaaccjjaa jj±±ddrraa ddllaa oobbss³³uuggii mmaasskkoowwaanniiaa.. **** NNaajjnnoowwsszzee iinnffoorrmmaaccjjee zznnaajjddzziieesszz nnaa ssttrroonniiee zzaassoobbóóww ddllaa mmaasskkoowwaanniieeuu <<http://ipmasq.home.ml.org/>. Trudno jest czêsto uaktualniaæ HOWTO.** · Po pierwsze potrzebujesz ¼róde³ j±dra (najlepiej w wersji 2.0.0 lub nowszej). · Je¶li jest to twoja pierwsza kompilacja j±dra, nie bój siê. W³a¶ciwie jest to raczej proste i opisane w Kernel-HOWTO <http://www.jtz.org.pl/Html/Kernel-HOWTO.pl.html> (dostêpne w j. polskim). · Rozpakuj ¼ród³a do katalogu /usr/src/ poleceniem tar xvzf linux-2.0.x.tar.gz -C /usr/src, gdzie x jest numerem ³aty (od 0 do najnowszej wersji). (upewnij siê, ¿e istnieje katalog lub symboliczne do³±czenie o nazwie linux). · Na³ó¿ odpowiednie ³aty. Poniewa¿ pojawiaj± siê nowe ³aty, szczegó³ów nie zamieszczê tutaj. Zajrzyj na stronê zasobów dla maskowania <http://ipmasq.home.ml.org/>, aby poznaæ najnowsze informacje. · Dalsze informacje na temat kompilacji znajdziesz w Kernel-HOWTO i pliku README znajduj±cym siê w katalogu ze ¼ród³ami. · Oto opcje, które musisz wkompilowaæ: Odpowiedz _Y_E_S na nastêpuj±ce pytania: * Prompt for development and/or incomplete code/drivers CONFIG_EXPERIMENTAL - pozwoli ci to na wybór eksperymentalnego kodu maskowania * Enable loadable module support CONFIG_MODULES - pozwoli na ³adowanie modu³ów * Networking support CONFIG_NET * Network firewalls CONFIG_FIREWALL * TCP/IP networking CONFIG_INET * IP: forwarding/gatewaying CONFIG_IP_FORWARD * IP: firewalling CONFIG_IP_FIREWALL * IP: maskowanie (EXPERIMENTAL) CONFIG_IP_MASQUERADE - pomimo, ¿e jest to eksperymentalne jest to *KONIECZNE* * IP: ipautofw masquerade support (EXPERIMENTAL) CONFIG_IP_MASQUERADE_IPAUTOFW - zalecane * IP: ICMP maskowanie CONFIG_IP_MASQUERADE_ICMP - obs³uga maskowania pakietów ICMP, opcjonalne * IP: always defragment CONFIG_IP_ALWAYS_DEFRAG - szczególnie zalecane * Dummy net driver support CONFIG_DUMMY - zalecane UWAGA: To s± opcje tylko do maskowania. W³±cz to co potrzebujesz dla swojej konfiguracji. · Po kompilacji j±dra powiniene¶ skompilowaæ i zainstalowaæ modu³y: make modules; make modules_install · Potem powiniene¶ dodaæ kilka linii do swojego pliku /etc/rc.d/rc.local (czy jakiego¶, który uwa¿asz za stosowny), aby automatycznie podczas ka¿dego startu systemu za³adowaæ modu³y znajduj±ce siê w /lib/modules/2.0.x/ipv4/: . . . /sbin/depmod -a /sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_raudio /sbin/modprobe ip_masq_irc (i inne modu³y jak ip_masq_cuseeme, ip_masq_vdolive je¶li za³o¿y³e¶ ³aty) . . . Uwaga: Mo¿esz tak¿e za³adowaæ te modu³y rêcznie przed u¿yciem ip_masq, ale NIE u¿ywaj do tego celu kerneld - to NIE bêdzi dzia³aæ! 33..22.. PPrrzzyyppiissyywwaanniiee aaddrreessóóww IIPP ww pprryywwaattnneejj ssiieeccii.. Poniewa¿ wszystkie IINNNNEE maszyny nie maj± przypisanych adresów, musi byæ jaki¶ poprawny sposób, aby nadaæ im takie adresy. Z IP Masquerade FAQ: Jest RFC (#1597) informuj±ce które adresy IP mog± byæ u¿ywane w niepo³±czonych sieciach. S± 3 bloki przeznaczone do tego celu. Ten, którego u¿ywam to podsieci klasy C o adresach 192.168.1.n do 192.168.255.n. Z RFC 1597: Rozdzia³ 3: Prywatna przestrzeñ adresowa IANA (Internet Assigned Numbers Authority) zarezerwowa³o nastêpuj±ce trzy bloki przestrzeni adresów IP dla prywatnych sieci: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Do pierwszego bêdziemy siê odnosiæ jako "24-bitowy blok", do drugiego jako "20-bitowy blok" i do trzeciego jako "16-bitowy blok". Zauwa¿, ¿e pierwszy blok to nic innego jak pojedynczy numer sieci klasy A, podczas gdy drugi blok to ci±g³y blok 16. sieci klasy B i trzeci blok to ci±g³y blok 255. sieci klasy C. Tak wiêc, je¶li u¿ywasz sieci klasy C, powiniene¶ nadaæ swoim maszynom adresy 192.168.1.1, 1.92.168.1.2, 1.92.168.1.3, ..., 192.168.1.x. 192.168.1.1 to zwykle gateway, który jest Linux-em ³±cz±cym ciê z Internetem. Zauwa¿, ¿e 192.168.1.0 i 192.168.1.255, to odpowiednio adresy sieci i broadcast, które s± zarezerwowane. Unikaj u¿ycia tych adresów na twoich maszynach. 33..33.. KKoonnffiigguurraaccjjaa IINNNNYYCCHH mmaasszzyynn.. Oprócz ustawienia na ka¿dej maszynie adresu IP, powiniene¶ tak¿e ustawiæ odpowiedni gateway. Ogólnie, jest to raczej proste. Po prostu wpisujesz adres swojego Linux-a (zwykle 192.168.1.1) jako adres gateway-a. Jako DNS mo¿esz wpisaæ jakikolwiek dostêpny adres serwera DNS-u. Najlepiej ten sam, którego u¿ywa twój Linux. Mo¿esz tak¿e dodaæ jak±kolwiek domenê do przeszukiwania. Po tym jak skonfigurowa³e¶ te adresy IP, nie zapomnij zrestartowaæ odpowiednich serwisów lub systemów. Nastêpuj±ce wskazówki konfiguracyjne zak³adaj±, ¿e u¿ywasz sieci klasy C, twój Linux ma adres 192.168.1.1. Pamiêtaj, ¿e 192.168.1.0 i 192.168.1.255 s± zarezerwowane. 33..33..11.. KKoonnffiigguurraaccjjaa wwiinnddoowwss 9955.. 1. Je¶li jeszcze nie zainstalowa³e¶ karty sieciowej, zrób to teraz. 2. Przejd¼ do _P_a_n_e_l _S_t_e_r_o_w_a_n_i_a_/_S_i_e_æ. 3. Dodaj _p_r_o_t_o_k_ó_³ _T_C_P_/_I_P je¶li jeszcze go nie masz. 4. We _w_³_a_¶_c_i_w_o_¶_c_i_a_c_h _T_C_P_/_I_P przejd¼ do _A_d_r_e_s _I_P i ustaw na 192.168.1.x (1 < x < 255) i wtedy ustaw Maskê podsieci na 255.255.255.0 5. Dodaj 192.168.1.1 jako twój gateway w polu _G_a_t_e_w_a_y. 6. W _K_o_n_f_i_g_u_r_a_c_j_i _D_N_S dodaj serwer DNS, którego u¿ywa twój Linux (zwykle jest w pliku /etc/resolv.conf). Opcjonalnie mo¿esz dodaæ jak±¶ domenê do przeszukiwania. 7. Pozostaw resztê ustawieñ w takim stanie w jakim s±, chyba ¿e wiesz co robisz. 8. Kliknij _O_K we wszystkich okienkach i zrestartuj system. 9. ping-nij Linux-a, aby sprawdziæ po³±czenie sieciowe: _S_t_a_r_t_/_U_r_u_c_h_o_m, wpisz ping 192.168.1.1 (To jest tylko test dla sieci lokalnej. Nie mo¿esz jeszcze testowaæ po³±czenia na ¶wiat.) 10. Mo¿esz opcjonalnie stworzyæ w katalogu windows plik HOSTS, ¿ebys móg³ u¿ywaæ nazw hostów (bez domeny) ze swojej sieci. W katalogu windows znajduje siê przyk³ad o nazwie HOSTS.SAM. 33..33..22.. KKoonnffiigguurraaccjjaa WWiinnddoowwss ffoorr WWoorrkkggrroouuppss 33..1111.. 1. Je¶li jeszcze nie zainstalowa³e¶ karty sieciowej, zrób to teraz. 2. Zainstaluj pakiet TCP/IP 32b je¶li jeszcze go nie masz. 3. W _G_r_u_p_a _g_³_ó_w_n_a_/_U_s_t_a_w_i_e_n_i_a_/_S_i_e_æ kliknij _S_t_e_r_o_w_n_i_k_i. 4. Pod¶wietl _M_i_c_r_o_s_o_f_t _T_C_P_/_I_P_-_3_2 _3_._1_1_b w _S_t_e_r_o_w_n_i_k_a_c_h _s_i_e_c_i_o_w_y_c_h, kliknij _U_s_t_a_w_i_e_n_i_a. 5. Ustaw adres IP na 192.168.1.x (1 < x < 255), ustaw Maskê podsieci na 255.255.255.0 i domy¶lny gateway na 192.168.1.1 6. Nie w³±czaj _A_u_t_o_m_a_t_y_c_z_n_e_j _k_o_n_f_i_g_u_r_a_c_j_i _D_H_C_P i nie wpisuj nic w wiersze _W_I_N_S _S_e_r_v_e_r o ile jeste¶ w domenie Windows NT i wiesz co robisz. 7. Kliknij _D_N_S, wype³nij odpowiednie pola wymienione w kroku 6. w sekcji 3.3.1, potem kliknij _O_K. 8. Kliknij _Z_a_a_w_a_n_s_o_w_a_n_e, zaznacz _W_³_±_c_z _D_N_S _d_l_a _W_i_n_d_o_w_s _N_a_m_e _R_e_s_o_l_u_t_i_o_n i _W_³_±_c_z _s_p_r_a_w_d_z_a_n_i_e _L_M_H_O_S_T_S je¶li u¿ywasz pliku z hostami, podobnie do kroku 10. w sekcji 3.3.1. 9. Kliknij _O_K we wszystkich okienkach i zrestartuj system. 10. tt/ping/-nij Linux-a, aby sprawdziæ po³±czenie sieciowe: _S_t_a_r_t_/_U_r_u_c_h_o_mm wpisz ping 192.168.1.1 (To jest tylko test dla sieci lokalnej. Nie mo¿esz jeszcze testowaæ po³±czenia na ¶wiat.) 33..33..33.. KKoonnffiigguurraaccjjaa WWiinnddoowwss NNTT.. 1. Je¶li jeszcze nie zainstalowa³e¶ karty sieciowej, zrób to teraz. 2. Przejd¼ do _G_r_u_p_a _g_³_ó_w_n_a_/_P_a_n_e_l _s_t_e_r_o_w_a_n_i_a_/_S_i_e_æ 3. Dodaj protokó³ TCP/IP i powi±zane sk³adniki z menu _D_o_d_a_j _o_p_r_o_g_r_a_m_o_w_a_n_i_e je¶li nie masz jeszcze zainstalowanego serwisu TCP/IP. 4. W sekcji _O_p_r_o_g_r_a_m_o_w_a_n_i_e _s_i_e_c_i_o_w_e _i _k_a_r_t_y _s_i_e_c_i_o_w_e pod¶wietl _p_r_o_t_o_k_ó_³ _T_C_P_/_I_P w _Z_a_i_n_s_t_a_l_o_w_a_n_e _o_p_r_o_g_r_a_m_o_w_a_n_i_e _s_i_e_c_i_o_w_e. 5. W _K_o_n_f_i_g_u_r_a_c_j_i _T_C_P_/_I_P zaznacz odpowiedni± kartê sieciow±, np. [1]Novell NE2000 Adapter. Potem ustaw Adres IP na 192.168.1.x (1 < x < 255), ustaw Maskê podsieci na 255.255.255.0 i Domy¶lny gateway na 192.168.1.1. 6. Nie w³±czaj _A_u_t_o_m_a_t_y_c_z_n_e_j _k_o_n_f_i_g_u_r_a_c_j_i _D_H_C_P i nie wpisuj nic w wiersze _W_I_N_S _S_e_r_v_e_r o ile jeste¶ w domenie Windows NT i wiesz co robisz. 7. Kliknij _D_N_S, wype³nij odpowiednie pola wymienione w kroku 6. w sekcji 3.3.1, potem kliknij _O_K. 8. Kliknij _Z_a_a_w_a_n_s_o_w_a_n_e, zaznacz _W_³_±_c_z _D_N_S _d_l_a _W_i_n_d_o_w_s _N_a_m_e _R_e_s_o_l_u_t_i_o_n i _W_³_±_c_z _s_p_r_a_w_d_z_a_n_i_e _L_M_H_O_S_T_S je¶li u¿ywasz pliku z hostami, podobnie do kroku 10. w sekcji 3.3.1. 9. Kliknij _O_K we wszystkich okienkach i zrestartuj system. 10. tt/ping/-nij Linux-a, aby sprawdziæ po³±czenie sieciowe: _S_t_a_r_t_/_U_r_u_c_h_o_mm wpisz ping 192.168.1.1 33..33..44.. KKoonnffiigguurraaccjjaa ssyysstteemmóóww uunniixx--oowwyycchh.. 1. Je¶li nie masz zainstalowanej swojej karty ani skompilowanego odpowiedniego sterownika, zrób to teraz. 2. Zainstaluj TCP/IP, jak np. pakiet nettols, je¶li jeszcze tego nie zrobi³e¶. 3. Ustaw _I_P_A_D_D_R na 192.168.1.x (1 < x < 255), ustaw _N_E_T_M_A_S_K na 255.255.255.0, _G_A_T_E_W_A_Y na 192.168.1.1 i _B_R_O_A_D_C_A_S_T na 192.168.1.255. Np. mo¿esz zmodyfikowaæ plik /etc/sysconfig/network-scripts/ifcfg- eth0 w dystrybucji Red Hat, albo po prostu zrób to w Control Panel- u. (inaczej postêpuje siê w SunOS, BSDi, Slckware Linux, itd.) 4. Dodaj serwer DNS i domenê do przeszukiwania w /etc/resolv.conf. 5. W zale¿no¶ci od twoich ustawieñ mo¿esz te¿ uaktualniæ /etc/networks. 6. Zrestartuj odpowiednie serwisy albo po prostu zrestartuj system. 7. Wydaj polecenie ping: ping 192.168.1.1, aby sprawdziæ po³±czenie do gateway-a. (To jest tylko test dla sieci lokalnej. Nie mo¿esz jeszcze testowaæ po³±czenia na ¶wiat.) 33..33..55.. KKoonnffiigguurraaccjjaa DDOOSS--aa zz ppaakkiieetteemm NNCCSSAA TTeellnneett.. 1. Je¶li jeszcze nie zainstalowa³e¶ karty sieciowej, zrób to teraz. 2. Za³aduj odpowiedni sterownik. Dla karty NE2000 wydaj polecenie nwpd 0x60 10 0x300, je¶li karta jest ustawiona na IRQ=10 i adres I/O=0x300. 3. Stwórz nowy katalog i rozpakuj pakiet NCSA Telnet,; pkunzip tel2308b.zip. 4. Zmodyfikuj plik config.tel. 5. Ustaw myip=192.168.1.x (1 < x < 255) i netmask=255.255.255.0. 6. W tym przyk³adzie powiniene¶ ustawiæ hardware=packet, interrupt=10, ioaddr=60 7. Powiniene¶ mieæ przynajmniej jedn± maszynê ustawion± jako gateway, tj. Linux-a: name=default host=twój.linux hostip=192.168.1.1 gateway=1 8. Kolejna pozycja to DNS: name=dns.domena.pl ; hostip=123.123.123.123; nameserver=1 Uwaga: zamieñ powy¿sze informacje na poprawne dla ciebie. 9. Zapisz plik config.tel 10. Po³±cz siê poprzez telnet z Linux-em, aby sprawdziæ po³±czenie telnet 192.168.1.1 33..33..66.. KKoonnffiigguurraaccjjaa MMaaccOOSS zz MMaaccTTCCPP.. 1. Je¶li nie zainstalowa³e¶ odpowiedniego sterownika dla twojej karty Ethernetowej, teraz by³by bardzo dobry moment, aby to zrobiæ. 2. Otwórz _M_a_c_T_C_P _c_o_n_t_r_o_l _p_a_n_e_l. Wybierz odpowiedni sterownik sieci (Ethernet, NIE EtherTalk) i kliknij przycisk _M_o_r_e_._._.. 3. W _O_b_t_a_i_n _A_d_d_r_e_s_s kliknij _M_a_n_u_a_l_l_y. 4. W _I_P _A_d_d_r_e_s_s wybierz _C_l_a_s_s _C z listy. Zignoruj resztê ustawieñ w tym okienku. 5. Wype³nij odpowiednie informacje w _D_o_m_a_i_n _n_a_m_e _S_e_r_v_i_c_e _i_n_f_o_r_m_a_t_i_o_n. 6. W _G_a_t_e_w_a_y _A_d_d_r_e_s_s wpisz 192.168.1.1. 7. Kliknij _O_K, aby zachowaæ ustawienia. W g³ównym okienku _M_a_c_T_C_P _c_o_n_t_r_o_l _p_a_n_e_l wpisz adres IP swojego Mac-a (192.168.1.x, 1 < x < 255) w wierszu _I_P _A_d_d_r_e_s_s. 8. Zamknij _M_a_c_T_C_P _c_o_n_t_r_o_l _p_a_n_e_l. Je¶li pojawi siê okienko sugeruj±ce restart systemu - zrób tak. 9. Mo¿esz opcjonalnie ping-n±æ Linux-a, aby sprawdziæ po³±czenie. Je¶li masz program freeware'owy _M_a_c_T_C_P _W_a_t_c_h_e_r, kliknij na przycisk _P_i_n_g i wpisz adres swojego Linux-a (192.168.1.1) w okienku, które siê pojawi. (To jest tylko test dla sieci lokalnej. Nie mo¿esz jeszcze testowaæ po³±czenia na ¶wiat.) 10. Opcjonalnie mo¿esz tak¿e stworzyæ plik Hosts w System Folders, ¿eby u¿ywaæ tylko nazw hostów bez domeny w swojej sieci lokalnej. Plik powinien siê ju¿ znajdowaæ w System Folders i powinien zawieraæ kilka (zakomentowanych) przyk³adowych pozycji, które mo¿esz zmodyfikowaæ na swoje potrzeby. 33..33..77.. KKoonnffiigguurraaccjjaa ssyysstteemmóóww MMaaccOOSS zz OOppeenn TTrraannssppoorrtt.. 1. Je¶li nie zainstalowa³e¶ odpowiedniego sterownika dla twojej karty Ethernetowej, teraz by³by bardzo dobry moment, aby to zrobiæ. 2. Otwórz _T_C_P_/_I_P _C_o_n_t_r_o_l _P_a_n_e_l i wybierz _U_s_e_r _M_o_d_e _._._. z menu _E_d_i_t. Sprawd¼ czy user mode jest ustawiony conajmniej na _A_d_v_a_n_c_e_d i kliknij _O_K. 3. Wybierz _C_o_n_f_i_g_u_r_a_t_i_o_n _._._. z menu _F_i_l_e. Zaznacz konfiguracjê _D_e_f_a_u_l_t i kliknij _D_u_p_l_i_c_a_t_e _._._.. Wpisz "Ip masq" (lub co¶ co zaznaczy, ¿e jest to specjalna konfiguracja) w okienku _D_u_p_l_i_c_a_t_e _C_o_n_f_i_g_u_r_a_t_i_o_n, prawdopodobnie bêdzie tam co¶ jak _D_e_f_a_u_l_t _C_o_p_y. Potem kliknij _O_K i _M_a_k_e _A_c_t_i_v_e. 4. Zaznacz _E_t_h_e_r_n_e_t z okienka _C_o_n_n_e_c_t _v_i_a. 5. Zaznacz odpowiedni± pozycjê na li¶cie _C_o_n_f_i_g_u_r_e. Je¶li nie wiesz któr± opcjê wybraæ, prawdopodobnie powiniene¶ wybraæ ponownie konfiguracjê _D_e_f_a_u_l_t i wyj¶æ. Ja u¿ywam _M_a_n_u_a_l_l_y. 6. Wpisz adres IP swojego Mac-a (192.168.1.x, 1 < x < 255) w okienku _I_P _A_d_d_r_e_s_s. 7. Wpisz 255.255.255.0 w okienku _S_u_b_n_e_t _m_a_s_k. 8. Wpisz 192.168.1.1 w okienku _R_o_u_t_e_r _a_d_d_r_e_s_s. 9. Wpisz adresy IP swoich serwerów DNS w okienku _N_a_m_e _s_e_r_v_e_r _a_d_d_r. 10. Wpisz swoj± domenê Internetow± (np. microsoft.com) w okienku _S_t_a_r_t_i_n_g _d_o_m_a_i_n _n_a_m_e w wierszu _I_m_p_l_i_c_i_t _S_e_a_r_c_h _P_a_t_h_:. 11. Nastêpuj±ce procedury s± opcjonalne. Niepoprawne warto¶ci mog± powodowaæ z³e zachowanie. Je¶li nie jeste¶ pewien, to lepiej je zostawiæ puste, niezaznaczone i/lub niewybrane. Usuñ wszelkie informacje z tych pól, jesli jest to konieczne. O ile wiem, to nie ma sposobu, ¿eby zabroniæ poprzez okienka TCP/IP systemowi u¿ywania poprzednio wybranego alternatywnego pliku "Hosts". Je¶li wiesz co¶ na ten temat, to jestem zainteresowany. Zaznacz _8_0_2_._3 je¶li twoja sieæ wymaga ramek 802.3. 12. Kliknij _O_p_t_i_o_n_s_._._., aby upewniæ siê, ¿e TCP/IP jest aktywne. Ja u¿ywam opcji _L_o_a_d _o_n_l_y _w_h_e_n _n_e_e_d_e_d. Je¶li uruchomisz i wy³±czysz aplikacjê TCP/IP wiele razy bez restartowania maszyny, mo¿e siê okazaæ, ¿e odznaczenie opcji _L_o_a_d _o_n_l_y _w_h_e_n _n_e_e_d_e_d zredukuje zapotrzebowanie na pamiêæ w twojej maszynie. Z niezaznaczon± t± opcj± stosy TCP/IP s± zawsze ³adowane i dostêpne do u¿ytku. Je¶li jest zaznaczona, stosy TCP/IP s± ³adowane automatycznie kiedy s± potrzebne i usuwane z pamiêci kiedy ju¿ nie s± potrzebne. To w³a¶nie ten proces ³adowania/usuwania mo¿e sfragmentowaæ twoj± pamiêæ. 13. Mo¿esz ping-n±æ Linux-a, aby sprawdziæ po³±czenie sieciowe. Je¶li masz program freeware'owy _M_a_c_T_C_P _W_a_t_c_h_e_r, kliknij na przycisk _P_i_n_g i wpisz adres swojego Linux-a (192.168.1.1) w okienku, które siê pojawi. (To jest tylko test dla sieci lokalnej. Nie mo¿esz jeszcze testowaæ po³±czenia na ¶wiat.) 14. Opcjonalnie mo¿esz tak¿e stworzyæ plik Hosts w System Folders, ¿eby u¿ywaæ tylko nazw hostów bez domeny w swojej sieci lokalnej. Plik mo¿e, ale nie musi, ju¿ siê znajdowaæ w System Folders. Je¶li jest, to powinien zawieraæ kilka (zakomentowanych) przyk³adowych pozycji, które mo¿esz zmodyfikowaæ na swoje potrzeby. Je¶li go nie ma, mo¿esz pobraæ kopiê z systemu z MacTCP, albo po prostu stworzyæ swój w³asny (sk³adnia jest taka jak w unix-owym /etc/hosts. Opisane to jest na stronie 33. w RFC 1035). Je¶li ju¿ stworzy³e¶ taki plik, otwórz _T_C_P_/_I_P _c_o_n_t_r_o_l _p_a_n_e_l, kliknij _S_e_l_e_c_t _H_o_s_t_s _F_i_l_e _._._. i otwórz plik Hosts. 15. Kliknij _C_l_o_s_e lub _Q_u_i_t z menu _F_i_l_e i potem kliknij _S_a_v_e, aby zachowaæ zmiany, które zrobi³e¶. 16. Zmiany bêda uwzglêdnione natychmiast, ale restart systemu nie zaszkodzi. 33..33..88.. KKoonnffiigguurraaccjjaa ssiieeccii NNoovveellll zz DDNNSS--eemm.. 1. Je¶li nie zainstalowa³e¶ odpowiedniego sterownika dla twojej karty Ethernetowej, teraz by³by bardzo dobry moment, aby to zrobiæ. 2. Zci±gnij plik tcpip16.exe z adresu ftp.novell.com <ftp.novell.com/pub/updates/unixconn/lwp5>. 3. Zmodyfikuj c:\nwclient\startnet.bat. Oto kopia mojego: SET NWLANGUAGE=ENGLISH LH LSL.COM LH KTC2000.COM LH IPXODI.COM LH tcpip LH VLM.EXE F: 4. Zmodyfikuj c:\nwclient\net.cfg (zmieñ Link Driver na swój): Link Driver KTC2000 Protocol IPX 0 ETHERNET_802.3 Frame ETHERNET_802.3 Frame Ethernet_II FRAME Ethernet_802.2 NetWare DOS Requester FIRST NETWORK DRIVE = F USE DEFAULTS = OFF VLM = CONN.VLM VLM = IPXNCP.VLM VLM = TRAN.VLM VLM = SECURITY.VLM VLM = NDS.VLM VLM = BIND.VLM VLM = NWP.VLM VLM = FIO.VLM VLM = GENERAL.VLM VLM = REDIR.VLM VLM = PRINT.VLM VLM = NETX.VLM Link Support Buffers 8 1500 MemPool 4096 Protocol TCPIP PATH SCRIPT C:\NET\SCRIPT PATH PROFILE C:\NET\PROFILE PATH LWP_CFG C:\NET\HSTACC PATH TCP_CFG C:\NET\TCP ip_address xxx.xxx.xxx.xxx ip_router xxx.xxx.xxx.xxx 5. i na koñcu stwórz c:\bin\resolv.cfg. SEARCH DNS HOSTS SEQUENTIAL NAMESERVER 207.103.0.2 NAMESERVER 207.103.11.9 6. Mam nadziejê, ¿e to pomo¿e niektórym pod³±czyæ ich sieci Novell. Konfiguracja jest poprawna dla NetWare 3.1x i 4.x 33..33..99.. KKoonnffiigguurraaccjjaa OOSS//22 WWaarrpp.. 1. Je¶li nie zainstalowa³e¶ odpowiedniego sterownika dla twojej karty Ethernetowej, teraz by³by bardzo dobry moment, aby to zrobiæ. 2. Zainstaluj protokó³ TCP/IP je¶li jeszcze go nie masz. 3. Przejd¼ do _P_r_o_g_r_a_m_m_s_/_T_C_P_/_I_P _(_L_A_N_) _/ _T_C_P_/_I_P. 4. W _N_e_t_w_o_r_k dodaj swój adres TCP/IP i ustaw maskê sieci (255.2555.255.0). 5. W _R_o_u_t_i_n_g wci¶nij _A_d_d. Ustaw _T_y_p_e na _d_e_f_a_u_l_t i wpisz w polu _R_o_u_t_e_r _A_d_d_r_e_s_s adres swojego Linux-a. (192.168.1.1). 6. Ustaw w polu _H_o_s_t_s ten sam adres DNS, którego u¿ywa twój Linux. 7. Zamknij TCP/IP control panel. Odpowiedz yes na pojawiaj±ce siê pytania. 8. Zrestartuj system. 9. Mo¿esz ping-n±æ Linux-a, aby sprawdziæ konfiguracjê sieci. W oknie _O_S_/_2 _C_o_m_m_a_n_d _p_r_o_m_p_t wpisz ping 192.168.1.1. Je¶li pakiety ping-a przychodz± wszystko jest w porz±dku. 33..33..1100.. KKoonnffiigguurroowwaanniiee iinnnnyycchh ssyysstteemmóóww.. Powinno siê to robiæ podobnie. Sprawd¼ poprzednie punkty. Je¶li jeste¶ zainteresowany opisaniem konfiguracji w jakimkolwiek systemie, to wy¶lij szczegó³owe instrukcje na adres ambrose@writeme.com. 33..44.. KKoonnffiigguurraaccjjaa zzaassaadd ffoorrwwaarrddiinngguu IIPP.. W tym momencie, powiniene¶ mieæ zainstalowane j±dro wraz ze wszystkimi potrzebnymi pakietami, jak równie¿ za³adowane modu³y. Tak¿e adresy IP, gateway-a i DNS-u na IINNNNYYCCHH maszynach powinny byæ ustawione. Teraz jedyne co pozosta³o, to u¿ycie ipfwadm, aby przekazywaæ odpowiednie pakiety odpowiednim maszynom. **** MMoo¿¿nnaa ttoo zzrroobbiiææ nnaa wwiieellee rróózznnyycchh ssppoossbbóóww.. PPoonnii¿¿sszzee ssuugg eessttiiee ii pprrzzyykk³³aaddyy ddzziiaa³³aa³³yy uu mmnniiee,, aallee ttyy mmoo¿¿eesszz mmiieeææ iinnnnee ppoommyyss³³yy.. WWiiêêcceejj sszzcczzeeggóó³³óóww zznnaajjddzziieesszz ww rroozzddzziiaallee 44..44 ii nnaa ssttrroonniiee ppooddrrêêcczznniikkaa ssyysstteemmoowweeggoo oo iippffwwaaddmm.. **** ipfwadm -F -p deny ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0 gdzie x jest jednym z poni¿szych adresów w zale¿no¶ci od klasy twojej sieci, a yyy.yyy.yyy.yyy jest adresem twojej sieci: Maska | x | Podsieæ ~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~ 255.0.0.0 | 8 | Klasa A 255.255.0.0 | 16 | Klasa B 255.255.255.0 | 24 | Klasa C 255.255.255.255 | 32 | Point-to-point Na przyk³ad je¶li jestem w posieci klasy C, wpisa³bym: ipfwadm -F -p deny ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 Poniewa¿ pakiety bootp przychodz± z poprawnym IP kiedy klient jeszcze nic na temat adresu IP nie wie, dla tych którzy u¿ywaj± serwera bootp w maszynach z maskowaniem czy firewall-ingiem konieczne jest u¿ycie poni¿szego polecenia przed poleceniem z deny: ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp Mo¿esz to tak¿e zrobiæ dla ka¿dej maszyny osobno. Na przyk³ad je¶li chcê, ¿eby maszyny 192.168.1.2 i 192.168.1.8 mia³y dostêp do Internetu, a inne nie, to wpisa³bym: ipfwadm -F -p deny ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0 ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0 Opcjonalnie mo¿esz wpisaæ maskê podsieci zamiast warto¶ci: 192.168.1.0/255.255.255.0. Popularnym b³êdem jest umieszczanie jako pierwszego polecenia: ipfwadm -F -p masquerade NNiiee czyñ maskowania domy¶ln± zasad± - je¶li tak zrobisz, kto¶ kto mo¿e manipulowaæ swoim routingiem, bêdzie w stanie stworzyæ tunel bezpo¶rednio poprzez twój gateway, aby ukryæ swoj± to¿samo¶æ! Mo¿esz dodaæ te linie do plików /etc/rc.local, do jakiego¶ innego pliku rc.*, lub robiæ to rêcznie za ka¿dym razem kiedy potrzebujesz maskowania. Szczegó³y na temat ipfwadm znajdziesz w rozdziale 4.4. 33..55.. TTeessttoowwaanniiee mmaasskkoowwaanniiaa.. Nadszed³ czas, ¿eby wypróbowaæ to wszystko po ciê¿kiej pracy. Upewnij siê, ¿e Linux jest pod³±czony do Internetu. Mo¿esz spróbowaæ posurfowaæ po _I_N_T_E_R_N_E_C_I_E_!_!_! na swoich IINNNNYYCCHH maszynach i sprawdziæ czy siê uda. Za pierwszym razem radzê, u¿yæ adresu IP zamiast nazwy kanonicznej, poniewa¿ twoje ustawienia DNS mog± byæ niepoprawne. Na przyk³ad mo¿esz sprawdziæ stronê projektu JTZ (http://www.jtz.org.pl/) podaj±c jako adres http://156.17.40.40/ <http://156.17.40.40/>. Je¶li ujrzysz j±, to gratulacje! Dzia³a! Mo¿esz teraz spróbowaæ podaæ nazwê kanoniczn±, potem telnet, ftp, Real Audio, True Speech i co tam jeszcze jest obs³ugiwane przez maskowanie ... . Jak dot±d nie mam problemów z powy¿szymi ustawieniami i jest to w pe³ni zas³uga ludzi, którzy po¶wiêcaj± swój czas, aby ta wspania³a w³a¶ciwo¶æ dzia³a³a. 44.. IInnnnee sspprraawwyy zzwwii±±zzaannee zz mmaasskkoowwaanniieemm IIPP ii oobbss³³uuggaa oopprrooggrraammoowwaanniiaa.. 44..11.. PPrroobblleemmyy zz mmaasskkoowwaanniieemm IIPP.. Niektóre protoko³y nie bêd± obecnie dzia³a³y z maskowaniem, poniewa¿ albo zak³adaj± pewne fakty na temat numerów portów, albo koduj± dane na temat adresów i portów w swoich strumieniach - te drugie potrzebuj± specyficznych proxies wbudowanych w kod maskowania, aby dzia³a³y. 44..22.. WWcchhooddzz±±ccee sseerrwwiissyy.. Maskowanie nie potrafi w ogóle obs³ugiwaæ takich serwisów. Jest kilka sposobów, aby takowe dzia³a³y, ale s± one zupe³nie nie zwi±zane z maskowaniem i s± czê¶ci± standardowego dzia³ania firewall-i. Je¶li nie wymagasz wysokiego poziomu bezpieczeñstwa, to mo¿esz po prostu przekierowaæ porty. S± ró¿ne sposoby, aby to zrobiæ - ja u¿ywam zmodyfikowanego kodu programu redir (który mam nadziejê bêdzie dostêpny wkrótce z sunsite i jego kopii). Je¶li chcesz mieæ jaki¶ poziom autoryzacji po³±czeñ wchodz±cych, to mo¿esz u¿yæ albo TCP wrappers albo Xinetd "powy¿ej" redir w wersji 0.7 lub nowszej, aby wpuszczaæ tylko konkretne adresy IP, albo u¿yj jakich¶ innych narzêdzi. TIS Firewall Toolkit jest dobrym miejscem, w którym mo¿esz poszukaæ narzêdzi i informacji. Wiêcej informacji znajdziesz na stronie z zasobami dla maskowania IP <http://ipmasq.home.ml.org>. 44..33.. OObbss³³uuggiiwwaannee oopprrooggrraammoowwaanniiee kklliieenncckkiiee ii uuwwaaggii oo iinnnnyycchh uussttaawwiieennii aacchh.. **** NNaasstteeppuujj±±cc±± lliisstt±± nniikktt ssiiêê jjuu¿¿ nniiee zzaajjmmuujjee.. ZZaajjrrzzyyjj nnaa ttêê ssttrroonnêê <<http://masqapps.home.ml.org/>, aby dowiedzieæ siê które aplikacje dzia³aj± poprzez maskowanie na Linux-ie. Wiêcej informacji tak¿e na stronie z zasobami dla maskowania IP <http://ipmasq.home.ml.org/>. ** Ogólnie aplikacja, która u¿ywa TCP/UDP powinna dzia³aæ. Je¶li masz jakie¶ sugestie, wskazówki lub pytania, na temat aplikacji z maskowaniem IP, odwied¼ tê stronê <http://masqapps.home.ml.org> prowadzon± przez Lee Nevo. 44..33..11.. OOpprrooggrraammoowwaanniiee,, kkttóórree ddzziiaa³³aa.. Ogólne: HHTTTTPP wszystkie obs³ugiwane platformy, surfowanie po sieci PPOOPP && SSMMTTPP wszystkie obs³ugiwane platformy, klienci e-mail TTeellnneett wszystkie obs³ugiwane platformy, zdalne logowanie FFTTPP wszystkie obs³ugiwane platformy, z modu³em ip_masq_ftp.o (nie wszystkie adresy dzia³aj± z pewnymi klientami; np. do niektórych nie mo¿na siê dostaæ przy pomocy ws_ftp32, ale dzia³a z Netscape) AArrcchhiiee wszystkie obs³ugiwane platformy, szukanie plików (nie wszytkie wersje oprogramowania s± obs³ugiwane) NNNNTTPP ((UUSSEENNEETT)) wszystkie obs³ugiwane platformy, klient USENET NEWS VVRRMMLL Windows (przypuszczalnie wszystkie obs³ugiwane platformy), surfowanie po wirtualnej rzeczywisto¶ci. ttrraacceerroouuttee g³ównie platformy na UNIX-ie, niektóre wersje mog± nie dzia³aæ ppiinngg wszystkie platformy, z ³at± ICMP wwsszzyyssttkkoo ooppaarrttee oo IIRRCC wszystkie obs³ugiwane platformy, z modu³ami ip_masq_irc.o kklliieenntt GGoopphheerr wszystkie obs³ugiwane platformy kklliieenntt WWAAIISS wszystkie obs³ugiwane platformy Klienci Multimedialni: RReeaall AAuuddiioo PPllaayyeerr Windows, network streaming audio z za³adowanym modu³em ip_masq_raudio TTrruuee SSppeeeecchh PPLLaayyeerr 11..11bb Windows, network streaming audio IInntteerrnneett WWaavvee PPllaayyeerr Windows, network streaming audio WWoorrllddss CChhaatt 00..99aa Windows, program Client-Server 3D do pogawêdek AAllpphhaa WWoorrllddss Windows, program Client-Server 3D do pogawêdek IInntteerrnneett PPhhoonnee 33..22 Windows, komunikacja audio Peer-to-peer, mo¿na siê z tob± porozumieæ tylko je¶li zainicjowa³e¶ po³±czenie, ale nie mo¿na zadzwoniæ do ciebie PPoowwwwooww Windows, komunikacja na bazie tablic (og³oszeniowych), mo¿na siê z tob± porozumieæ je¶li zainicjowa³e¶ po³±czenie; nie mo¿na siê do ciebie dodzwoniæ CCUU--SSeeeeMMee , wszystkie obs³ugiwane platformy, z za³adowanymi modu³ami cuseeme; szczegó³y znajdziesz na stronie z zasobami dla maskowania IP <http://ipmasq.home.ml.org/>. VVDDOOLLiivvee Windows, z ³at± vdolive Uwaga: Niektóre programy, jak IPhone i Powwow mog± dzia³aæ nawet je¶li to nie ty zaincjowa³e¶ po³±czenie poprzez u¿ycie pakietu _i_p_a_u_t_o_f_w. Zobacz w rozdziale 4.6. Inni klienci: NNCCSSAA TTeellnneett 22..33 0088 DOS, pakiet zawieraj±cy telnet, ftp, ping, itp. PPCC--aannyywwhheerree ffoorr WWiinnddoowwss 22..00 MS-Windows, zdalna kontrola PC poprzez TCP/IP, dzia³a tylko je¶li jest klientem a nie hostem. SSoocckkeett WWaattcchh u¿ywa ntp - protokó³ czasu w sieci ppaakkiieett nneett--aacccctt ww LLiinnuuxx--iiee Linux, pakiet do zarz±dzania i monitorowania sieci. 44..33..22.. OOpprrooggrraammoowwaanniiee nniiee ddzziiaa³³aajj±±ccee.. IInntteell IInntteerrnneett PPhhoonnee BBeettaa 22 £±czy siê, ale g³os wêdruje tylko w jedn± stronê (na zewn±trz) IInntteell SSttrreeaammiinngg mmeeddiiaa VViieewweerr bbeettaa 11 Nie mo¿e po³±czyæ siê z serwerem NNeettssccaappee CCoooollTTaallkk Nie mo¿e po³±czyæ siê z drug± stron± ttaallkk,, nnttaallkk nie bêd± dzia³aæ - wymagaj± napisania proxy dla j±dra WWeebbPPhhoonnee W tej chwili nie mo¿e dzia³aæ (robi z³e za³o¿enia na temat adresów) XX Nietestowane, ale s±dze, ¿e nie mo¿e dzia³aæ o ile kto¶ stworzy proxy dla X, który jest prawdopodobnie osobnym programem dla kodu maskowania. Jednym ze sposobów, aby to dzia³a³o jest u¿ycie sssshh jako po³±czenia i u¿ycie wewnêtrznego proxy X. 44..33..33.. PPrrzzeetteessttoowwaannee ppllaattffoorrmmyy//ssyysstteemmyy ooppeerraaccyyjjnnee jjaakkoo IINNNNEE mmaasszzyynnyy.. · Linux · Solaris · Windows 95 · Windows NT (workstation i serwer) · Windows For Workgroup 3.11 (z pakietem TCP/IP) · Windows 3.1 (z pakietem Chameleon) · Novel 4.01 Server · OS/2 (w³±cznie z Warp v3) · Macintosh OS (z MacTCP lub Open Transport) · DOS (z pakietem NCSA Telnet, DOS Trumpet dzia³a czê¶ciowo) · Amiga (ze stosem AmiTCP lub AS225) · VAX Stations 3520 and 3100 z UCX (stos TCP/IP dla VMS) · Alpha/AXP z Linux-em Redhat-em · SCO Openserver (v3.2.4.2 i 5) · IBM RS/6000 z uruchomionym na nim AIX-em · (Kto¶ sprawdza³ inne platformy?) 44..44.. AAddmmiinniissttrraaccjjaa FFiirreewwaallll--eemm IIPP ((iippffwwaaddmm)) Rozdzia³ ten pog³êbia wiedzê na temat stosowania polecenia _i_p_f_w_a_d_m. Poni¿ej jest ustawienie dla system z maskowaniem/firewalling-iem, z ³±czem PPP i statycznymi adresami PPP. Zaufanym interfejsem jest 192.168.255.1, interfejs PPP zosta³ zmieniony, aby chroniæ winnych :). Ka¿dy wchodz±cy i wychodz±cy interfejs jest podany osobno, aby wychwyciæ spoofing IP jak i zatkany (stuffed) routing i/lub maskowanie. Wszystko co nie jest wyra¼nie dozwolone jest zabronione! #!/bin/sh # # /etc/rc.d/rc.firewall, define the firewall configuration, invoked from # rc.local. # PATH=/sbin:/bin:/usr/sbin:/usr/bin # testowanie, poczekaj trochê, potem wyczy¶æ wszystkie regu³ki. # odkomentuj poni¿sze linie je¶li chcesz wy³±czyæ firewall # automatycznie po 10. minutach. # (sleep 600; \ # ipfwadm -I -f; \ # ipfwadm -I -p accept; \ # ipfwadm -O -f; \ # ipfwadm -O -p accept; \ # ipfwadm -F -f; \ # ipfwadm -F -p accept; \ # ) & # Wchodz±ce, wyczy¶æ i ustaw domy¶ln± regu³kê na zabronione. W³a¶ciwie # domy¶lna regu³ka jest nieodpowiednia, poniewa¿ zrobili¶my inn±: nie # wpuszczaj nikogo i loguj wszystko. ipfwadm -I -f ipfwadm -I -p deny # interfejs i maszyny lokalne mog± siê dostaæ wszêdzie ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0 # interfejs odleg³y, twierdz±cy, ¿e jest od nas, spoofing IP, nie # wpuszczaj ipfwadm -I -a deny -V twój.sta³y.adres.PPP -S 192.168.0.0/16 -D 0.0.0.0/0 -o # interfejs odleg³y, jakiekolwiek ¼ród³o, je¶li celem jest sta³y adres # PPP, to wpu¶æ ipfwadm -I -a accept -V twój.sta³y.adres.PPP -S 0.0.0.0/0 -D twój.sta³y.adres.PPP/32 # interfejs loopback (lo) jest w porz±dku ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0 # wychwyæ wszystko, ka¿dy inny ruch wchodz±cy jest zabroniony i # logowany, szkoda, ¿e nie ma opcji logowania, ale to robi to samo. ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o # Wychodz±ce, wyczy¶æ i ustaw domy¶ln± regu³kê na zabronione. W³a¶ciwie # domy¶lna regu³ka jest nieodpowiednia, poniewa¿ zrobili¶my inn±: nie # wpuszczaj nikogo i loguj wszystko. ipfwadm -O -f ipfwadm -O -p deny # interfejs lokalny, wszystko z zewn±trz do nas jest w porz±dku ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16 # wychodz±ce do lokalnej sieci na zdalnym interfejsie, stuffed # routing, odrzuæ ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 0.0.0.0/0 -D 192.168.0.0/16 -o # wychodz±ce z lokalnej sieci na zdalnym interfejsie, stuffed # masquerading, odrzuæ ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 192.168.0.0/16 -D 0.0.0.0/0 -o # wychodz±ce z lokalnej sieci na zdalnym interfejsie, stuffed # masquerading, odrzuæ ipfwadm -O -a deny -V twój.statyczny.adres.PPP -S 0.0.0.0/0 -D 192.168.0.0/16 -o # wszystko inne wychodz±ce na zdalnym interfejsie jest w porz±dku ipfwadm -O -a accept -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 0.0.0.0/0 # interfejs lokalny (lo) jest w porz±dku ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0 # wychwyæ wszystko, ka¿dy inny ruch wychodz±cy jest zabroniony i # logowany, szkoda, ¿e nie ma opcji logowania, ale to robi to samo. ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o # Przekazywanie, wyczy¶æ i ustaw domy¶ln± regu³kê na zabronione. W³a¶ciwie # domy¶lna regu³ka jest nieodpowiednia, poniewa¿ zrobili¶my inn±: nie # wpuszczaj nikogo i loguj wszystko. ipfwadm -F -f ipfwadm -F -p deny # maskuj z lokalnej sieci na lokalnym interfejsie dok±dkolwiek ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0 # wychwyæ wszystko, ka¿dy inny ruch jest zabroniony i # logowany, szkoda, ¿e nie ma opcji logowania, ale to robi to samo. ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o Mo¿esz blokowaæ ruch do poszczególnego adresu przy pomocy opcji -I, -O i -F. Pamiêtaj, ¿e regu³ki s± skanowane od góry w dó³ i -a oznacza "dodaj" do ju¿ istniej±cych regu³ek, tak wiêc wszelkie szczegó³owe regu³ki musz± pojawiæ siê przed zasadami ogólnymi. Na przyk³ad (nietestowane): U¿ycie opcji -I. Przypuszczalnie najszybsze rozwi±zanie, ale zatrzymuje tylko lokalne maszyny, firewall jako taki, ma nadal dostêp do zabronionych adresów. Oczywi¶cie mo¿esz dopu¶ciæ tak± kombinacjê. ... pocz±tek regu³ek -I ... # odrzuæ i loguj lokalny interfejs i lokalne maszyny próbuj±ce dostaæ # siê do 204.50.10.13 ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o # lokalny interfejs i maszyny dok±dkowiek jest w porz±dku ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0 ... koniec regu³ek -I ... U¿ycie opcji -O. Najwolniejsze poniewa¿ pakiety najpierw przechodz± przez maskowanie, ale ta regu³ka zatrzymuje nawet firewall przed dostêpem do zabronionych adresów. ... pocz±tek regu³ek -O ... # odrzuæ i zaloguj wychodz±ce do 204.50.10.13 ipfwadm -O -a reject -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 204.50.10.13/32 -o # wszystko inne wychodz±ce na odleg³ym interfejsie jest w porz±dku. ipfwadm -O -a accept -V twój.statyczny.adres.PPP -S twój.statyczny.adres.PPP/32 -D 0.0.0.0/0 ... koniec regu³ek -O ... U¿ycie opcji -F. Prawdopodobnie wolniejsze ni¿ -I i wci±¿ zatrzymuje tylko maszyny zamaskowane (tj. wewnêtrzne), firewall ma nadal dostêp do zabronionych adresów. ... pocz±tek regu³ek -F ... # odrzuæ i zaloguj z lokalnej sieci na interfejsie PPP do # 204.50.10.13 ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o # maskuj z lokalnej sieci na lokalnym interfejsie dok±dkolwiek ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0 ... koniec regu³ek -F ... Nie ma potrzeby na specjaln± regu³kê, aby pozwoliæ na ruch z 192.168.0.0/16 do 204.50.11.0; jest to zapewnione przez regu³ki ogólne. Jest wiêcej ni¿ jeden sposób ujêcia interfejsów w powy¿szych regu³kach. Na przyk³ad zamiast -V 192.168.255.1 mo¿esz wpisaæ -W eth0; zamiast -V twój.statyczny.adres.PPP mo¿esz u¿yæ -W ppp0. Prywatny wybór i dokumentacja, to wiêcej ni¿ cokolwiek innego. 44..55.. MMaasskkoowwaanniiee IIPP ii ddzzwwoonniieenniiee nnaa ¿¿±±ddaanniiee.. 1. Je¶li chcia³by¶ tak ustawiæ swoj± sieæ, aby po³±czyæ siê z Internetem automatycznie, to narzêdzie _d_i_a_l_d - dzwonienie na ¿±danie - bêdzie swietnym pakietem. 2. Aby ustawiæ diald, zajrzyj na stronê Ustawianie Diald dla linux-a <http://home.pacific.net.sg/~harish/diald.config.html>. 3. [Od t³umacza] Mo¿esz tez zajrzeæ do Diald mini HOWTO <http://www.jtz.org.pl/Html/mini/Diald.pl.html> (dostêpne w j. polskim). 4. Jak ju¿ ustawisz diald i maskowanie IP, mo¿esz podej¶æ do którejkolwiek z maszyn klienckich i zainicjowaæ po³±czenie WWW, telnet lub FTP. 5. Diald wychwyci nadchodz±ce ¿±danie, zadzwoni do prowajdera i ustawi po³±czenie. 6. Przy pierwszym po³±czeniu pojawi siê przerwa. Jest to nieuniknione je¶li u¿ywasz analogowych modemów. Czas, który jest potrzebny do ustawienia po³±czenia modemów i PPP, spowoduje, ¿e twój program kliencki stwierdzi roz³±czenie. Mo¿na tego unikn±æ je¶li u¿ywasz modemów ISDN. Wszystko co musisz zrobiæ, to przerwaæ bie¿±cy proces na kliencie i ponowiæ go. 44..66.. PPaakkiieett ddoo pprrzzeekkaazzyywwaanniiaa IIPPaauuttooffww.. IPautofw <ftp://ftp.netis.com/pub/members/rlynch/ipautofw.tar.gz> jest programem do ogólnie pojêtego przekazywania pakietów TCP i UDP w Linux-ie. ¯eby u¿yæ pakietu, który wymaga transmisji UDP trzeba za³adowaæ specyficzny modu³ ip_masq - ip_masq_raudio, ip_masq_cuseeme, itd. Ipautofw odgrywa bardziej ogóln± rolê; bêdzie on przekazywa³ ka¿dy rodzaj ruchu w³±cznie z tym, którego nie przepuszcz± modu³y specyficzne dla danej aplikacji. Je¶li zarz±dza siê tym programem niepoprawnie mo¿na stworzyæ dziurê w bezpieczeñstwie. 55.. RRóó¿¿nnoo¶¶ccii.. 55..11.. ZZddoobbyywwaanniiee ppoommooccyy.. **** PPrroosszzêê SSPPRRÓÓBBUUJJ NNIIEE wwyyssyy³³aaææ ddoo mmnniiee lliissttóóww nnaa tteemmaatt pprroobb lleemmóóww zz mmaasskkoowwaanniieemm IIPP.. ZZ ppoowwoodduu iilloo¶¶ccii ww³³aassnnyycchh zzaajjêêææ nniiee mmooggêê oobbiieeccaaææ,, ¿¿ee ooddppoowwiieemm nnaa wwsszzyyssttkkiiee lliissttyy nniiee zzwwii±±zzaannee zzee ssttrroonn±± WWWWWW.. ZZaammiiaasstt tteeggoo ¶¶lliijj pprroosszzêê ttaakkiiee lliissttyy nnaa lliissttêê ddyysskkuussyyjjnn±± oo mmaasskkoowwaanniiuu IIPP <<http://ipmasq.home.ml.org/index.html#mailinglist> (s±dzê, ¿e jest to najlepsze ¼ród³o pomocy). Przepraszam za to, ale nie chcê aby¶ czeka³ tygodniami na odpowied¼. · Na stronie z zasobami dla maskowania IP <http://ipmasq.home.ml.org/> powiniene¶ znale¼æ najwiêcej informacji o konfiguracji. · Zapisanie siê na listê dyskusyjn± o maskowaniu IP (zalecane). Aby zapisaæ siê, wy¶lij list o tytule "subscribe" (bez cudzys³owów) na adres masq-request@indyramp.com <mailto:masq- request@indyramp.com> Aby siê wypisaæ, wy¶lij list o tytule "unsubscribe": (bez cudzys³owów) na adres powy¿ej <mailto:masq-request@indyramp.com> Aby otrzymaæ pomoc na temat korzystania z listy dyskusyjnej, wy¶lij list o tytule "archive help" lub "archive dir" (bez cudzys³owów) na powy¿szy adres <mailto:masq-request@indyramp.com> · W archiwum <http://www.indyramp.com/masq/list/> listy dyskusyjnej o maskowaniu IP znajdziesz wszystkie listy dotychczas wys³ane na tê listê. · To mini HOWTO o maskowaniu IP <http://ipmasq.home.ml.org/ipmasq- HOWTO.html> jest dla j±der 2.x (je¶li u¿ywasz 1.3.x lub 2.x) · Zajrzyj do tego mini HOWTO <http://ipmasq.home.ml.org/ipmasq- HOWTO-1.2.x.txt> je¶li masz starsze j±dro. · W FAQ na temat maskowania IP <http://www.indyramp.com/masq/ip_masquerade.txt> znajdziesz ogólne informacje · Na stronie X/OS Ipfwadm <http://www.xos.nl/linux/ipfwadm/> zmajdziesz ¼ród³a, binaria, dokumentacjê i inne informacje na temat pakietu ipfwadm. · Na stronie aplikacji, które s± kompatybilne z maskowaniem IP <http://masqapps.home.ml.org> (stworzonej przez Lee Nevo) znajdziesz sztuczki i kruczki na temat przystosowywania aplikacji do dzia³ania z maskowaniem IP. · Je¶li jeste¶ pocz±tkuj±cym i konfigurujesz sieæ, to Network Adminitration Guide <http://sunsite.icm.edu.pl/pub/Linux/Documentation/LDP/nag/nag.html> z LDP jest dla ciebie konieczn± lektur±. · W NET-3-HOWTO <http://www.jtz.org.pl/Html/NET-3-HOWTO.pl.html> (dostêpne w j. polskim) tak¿e znajdziesz du¿o po¿ytecznych informacji na temat sieci i Linuxa. · W ISP-Hookup-HOWTO <http://www.jtz.org.pl/Html/ISP-Hookup- HOWTO.pl.html> i PPP-HOWTO <http://www.jtz.org.pl/Html/PPP- HOWTO.pl.html> (oba w j. polskim) znajdziesz informacje jak po³±czyæ siê ze swoim prowajderem. · Ethernet HOWTO <http://sunsite.icm.edu.pl/pub/Linux/docs/HOWTO/Ethernet-HOWTO> jest dobrym ¼ród³em informacji o instalacji sieci lokalnej opartej na Ethernecie. · Mo¿esz tak¿e zajrzeæ do Firewall HOWTO <http://www.jtz.org.pl/Html/Firewall-HOWTO.pl.html> (w j. polskim) · Kernel-HOWTO <http://www.jtz.org.pl/Html/Kernel-HOWTO.pl.html> poprowadzi ciê przez proces kompilacji j±dra. · Inne HOWTO <http://sunsite.icm.edu.pl/pub/Linux/docs/HOWTO/>. · Wys³anie listów na grupy dyskusyjne USENET np. pl.comp.os.linux. [Od t³umacza: UUwwaaggaa:: wkrótce pojawi siê grupa pl.comp.os.linux.sieci; je¶li taka ju¿ jest, to proszê ttaamm kierowaæ pytania o maskowaniu IP.] 55..22.. PPooddzziiêêkkoowwaanniiaa.. · Gabrielowi Beitlerowi, gbeitler@aciscorp.com za rozdzia³ 3.3.8 (konfiguracja Novela) · Edowi Doolittle'owi, dolittle@math.toronto.edu za sugestjê odno¶nie opcji -V w poleceniu ipfwadm dla zwiêkszenia bezpieczeñstwa · Matthew Driverowi, mdriver@cfmeu.asn.au za obszern± pomoc w pracach przy tym HOWTO i dostarczenie rozdzia³u 3.3.1 (konfiguracja Windows 95) · Kenowi Evesowi, ken@eves.com za FAQ, które dotarcza nieocenionych informacji dla tego HOWTO · Edowi Lottowi, edlott@neosoft.com za d³ug± listê sprawdzonych systemów i oprogramowania · Nigelowi Metheringhamowi, Nigel.Metheringham@theplanet.net za dostarczenie swojej wersji HOWTO na temat filtrowania pakietów IP i maskowania pakietów IP, które czyni± to HOWTO lepszym i bardziej technicznym dokumentem; rozdzia³y 4.1, 4.2 i inne · Keith Owens, kaos@ocs.com.au za dostarczenie wspania³ego podrêcznika na temat ipfwadm w rozdziale 4.2 za poprawki do opcji ipfwadm -deny, które nie pozwalaj± na powstanie dziury w bezpieczeñstwie, i wyja¶nienie statusu pinga przez maskowanie IP · Robowi Pelkey, rpelkey@abacus.bates.edu za dostarczenie rozdzia³u 3.3.6 i 3.3.7 (konfiguracja MacTCP i Open Transport) · Harish Pillay, h.pillay@ieee.org za dostarczenie rozdzia³u 4.5 (dzwonienie na ¿adanie przy pomocy diald) · Markowi Purcellowi, purcell@rmcs.cranfield.ac.uk za dostarczenie rozdzia³u 4.6 (IPautofw) · Ueli Rutishauser, rutish@ibm.net za dostarczenie rozdzia³u 3.3.9 (konfiguracja OS/2 Warp) · Johnowi B. (Brent) Williamsowi, forerunner@mercury.net za dostarczenie rozdzia³u 3.3.7 (konfiguracja Open Transport) · Enrique Pessoa Xaveir, enrique@labma.ufrj.br za sugestjê konfiguracji startu przez bootp · programistom zajmuj±cym siê maskowaniem IP za tê wspania³± w³asno¶æ · Delian Delchev, delian@wfpa.acad.bg · Nigel Metheringham, Nigel.Metheringham@theplanet.net · Keith Owens, kaos@ocs.com.au · Jeanette Pauline Middelink, middelin@polyware.iaf.nl · David A. Ranch, trinity@value.net · Miquel van Smoorenburg, miquels@q.cistron.nl · Jos Vos, jos@xos.nl · I wielu innym, o których mog³em tutaj zapomnieæ (daj znaæ) · wszystkim u¿ytkownikom przysy³aj±cym komentarze i sugestie na listê dyskusyjn±. Szczególnie, tym którzy zg³aszali b³êdy w dokumentacji i obs³ugiwanych i nieobs³ugiwanych klientów. · Przepraszam, ¿e nie do³±czy³em informacji, które podes³a³ mi jaki¶ u¿ytkownik. Otrzymujê wiele sugestii i pomys³ów, ale po prostu nie mam wystarczaj±co du¿o czasu, aby je zweryfikowaæ, albo po prostu tracê je. Robiê co tylko mogê, aby do³±czyæ wszystkie przysy³ane mi informacje. Dziêkujê za wysi³ek i mam nadziejê, ¿e zrozumiesz moj± sytuacjê. 55..33.. OOddwwoo³³aanniiaa.. · FAQ na temat maskowania IP autorstwa Kena Evesa · Lista dyskusyjna o maskowaniu IP zrobiona przez Indyramp Consulting · Strona o ipfwadm autorstwa X/OS · Ró¿ne dokumenty HOWTO zwi±zane z sieci±