Wenn Sie sich irgendwelche nützliche Vorschläge für die FAQ vorstellen können, senden Sie bitte diese an Johann Maas ( johann.maas@gmx.net). Bitte Frage und Antwort(falls Sie eine kennen) korrekt formulieren. Vielen Dank!
Machen Sie sich keine Sorgen, wenn Ihre Linux-Distribution Masquerading nicht per Voreinstellung unterstützt. Alles was Sie brauchen, ist einen neuen Kern zu erstellen, wie es bereits in dieser HOWTO beschrieben wurde.
Ein 486/66-Rechner mit 16 MB RAM zeigte sich mehr als in der Lage, eine Verbindung mit 1.54Mb/s 100% zu maskieren! Es gibt auch Fälle, wo 386-Computer mit 8MB RAM erfolgreich die Funktion eines Masq-Servers übernohmen haben. Allerdings können bei mehr als 500 Verbindungseinträgen Aussetzer eintreten. Diese Zahl ist jedoch so hoch, daß sie in der Praxis keine bedeutende Rolle spielen dürfte.
Masquerading-Mailinglistarchiven
ps aux | grep -e routed -e gated
Unter folgender Adresse von Indyramp Consulting findet sich ein Formular, wo Sie Ihre E-Mail Adresse eintragen und ein Passwort festlegen können. Durch klicken auf den Button wird die Anforderung abgesandt:
http://www.indyramp.com/masq-list/Unmittelbar danach wird Ihnen eine Mail zugestellt mit der Biete, die Bestellung zu bestätigen. Dies geschieht durch eine einfache Antwortmail, der Inhalt muß nicht gehändert werden, insbesondere nicht das Subjekt. Das wars eigentlich schon, ab jetzt sind Sie für die Liste registriert. Das Passwort wird für die Änderung von Optionen gebraucht, sowie zum eventuellen Abbestellen der Liste.
Einmal angefordert, wird Ihnen die Liste einmal pro Tag automatisch ausgeliefert. Beachten Sie, daß für die Mailingliste nur Briefe akzeptiert werden, die von Ihrer Original-Adresse ausgehen, mit der Sie erstmals die Liste angefordert haben.
Proxy-Server sind für Win95/98/NT/2000, Linux, Solaris, etc. verfügbar.
Pro: Benötigt nur eine IP-Adresse, ist billig und erlaubt optionales Caching für bessere Performance(WWW, etc.)
Contra: Alle Anwendungen hinter dem Proxy-Server müssen Proxy-Dienste(SOCKS) unterstützen und extra für die Nutzung eines Proxy-Servers konfiguriert werden.
Ein Proxy-Server benötigt, wie auch IP-Masquerading, nur eine öffentliche IP-Adresse und fungiert als eine Art Übersetzer für Clients(z.B. WWW-Browser) im privaten LAN. Der Server empfängt Anforderungen aus dem privaten Netzwerk wie TELNET, FTP, WWW über die Netzwerkschnittstelle. Er wird diese Anforderungen verarbeiten und dann von sich aus und mit seiner registrierten IP-Adresse die Wunschverbindung nach Außen starten, die Antworten abwarten, die TCP/IP-Adressen des entfernten Internet-Servers durch seine eigene ersetzen und die Pakete dem Computer, der die Verbindung angefordert hat, zustellen. Der Proxy-Server bekommt sozusagen eine Vollmacht, die Rolle eines WWW-Servers zu spielen.
Hinweis: Jede Anwendung, die Sie von einer internen Maschine aus starten wollen, muß die Verwendung von Proxies unterstützen, wie es z.B. Netscape oder manche von den besseren FTP-, TELNET-Clients tun. Client-Anwendungen, die Proxies nicht unterstützen, werden sich nicht starten lassen. Der Einsatz von Proxies bringt mit sich einen weiteren, guten Vorteil, denn Sie können häufig aufgerufene Seiten/Dateien im lokalen Cache zwischenspeichern. Stellen Sie sich ein Netzwerk mit 50 Hosts vor, die alle etwa zur selben Zeit Netscape mit voreingestellter Netscape-Homepage starten. Es müßte dieselbe Seite, die ja sowieso nicht zu den schnellsten gehört, 50 Mal übers Internet transportiert werden. Ein Proxy-Server legt nur eine Kopie im lokalen Cache ab und liefert sie nach Bedarf aus. Dieses spart nicht nur die Bandbreite der Internetverbindung sondern bringt auch viel, viel mehr Geschwindigkeit.
IP-Masq ist für Linux und manche ISDN-Router wie Zytel Prestige128, Cisco 770, NetGear, etc. verfügbar
Pro: Erfordert nur(eine) IP-Adresse, ist billig und die Anwendungen benötigen keine besonderen Eigenschaften oder Unterstützung. Basiert auf der Benutzung von Firewall-Software und kann dementsprechend sicherer gemacht werden.
Contra: Benötigt einen Linux-Rechner oder spezielle ISDN-Router(obwohl Windows 98SE/ME/2000 diese Funktionalität auch unterstützen, wenn auch in einer, etwas anderen, Form und mit weniger Flexibilität und Konfigurationsmöglichkeiten). Einkommender Verkehr kann die maskierten Maschinen nicht erreichen, es sei denn, diese initiieren selbst die Verbindung oder es sind spezielle Portumleiter-Programme installiert. Spezielle Protokolle für FTP, IRC, etc. müssen explizit in Form von Modulen geladen werden. Linux unterstützt die volle Pallete von Protokollen, aber viele Router tun es nicht(NetGear tut)
Masquerading zeigt gewisse Ähnlichkeit mit einem Proxy-Server, mit dem Unterschied, daß der Proxy IP-Adressen übersetzt und vorgaukelt, der entfernte Server zu sein, während ein Masq-Rechner nur die Verbindung Anstelle einer internen Maschine ausführt und ihr die Ergebnisse überreicht.
Der Hauptunterschied zwischen einem Masquerading- und Proxy-Server besteht darin, daß bei Masquerading die Anwendungen auf Client-Maschinen keine zusätzliche Änderung der Konfiguration erfordern. Einfach den Linux-Rechner als deren Default-Gateway konfigurieren und die Clients sind einsatzbereit! (Nicht vergessen hier dieselben DNS-Adressen, wie auf dem Linux-Rechner einzugeben.)
Viele Leute nutzen gleichzeitig beide Funktionalitäten: IP-Masq für TELNET, FTP, etc. und einen Caching-Proxy für bessere WWW-Performance.
NAT-Server gibt es für Windows 95/98/NT/2000, Linux, Solaris, und manche von den besseren ISDN-Router(nicht Ascend)
Pro: Ist sehr variabel und erfordert keine spezielle Applikationssoftware.
Contra: Benötigt ein Subnetz von Ihrem ISP und ist also recht teuer.
Network Address Translation steht für eine Technik der Zuordnung von Adressen. Danach besitzt ein Server einen ganzen Bereich von gültigen, registrierten IP-Adressen, die benutzt werden können. Wenn Jemand aus dem internen Netzwerk eine Verbindung zum Internet wünscht, assoziiert der Server die private, nicht registrierte IP-Adresse des Computers mit einer gültigen, freien IP-Adresse aus dem verfügbaren Bereich. Danach wird der Verkehr über diese registrierte IP-Adresse auf die zugeordnete, private umgeschrieben und entsprechend weitergeleitet. Wird die registrierte Adresse nach Trennung der Verbindung wieder frei, darf sie vom Server nach einer vorbestimmten Zeit wieder anderen Benutzern zugeordnet werden. Das Hauptproblem von NAT liegt darin, daß die Anzahl von verfügbaren registrierten Adressen meistens begrenzt ist. Sind momentan alle Adressen vergeben, kommt kein neuer Benutzer ins Internet bis eine Adresse wieder frei wird.
Ja! Sie unterscheiden sich nach Benutzerschnittstelle, Komplexität u.s.w., sind zuverlässig und gut im Umgang, obwohl die Meisten nur für die Verwaltung von IPFWADM geschrieben wurden. Hier ist eine kurze Liste in alphabetischer Reihenfolge:
IPFWADM Dot file generator - eine IPCHAINS Version ist in der Arbeit
FWCONFIG für IPFWADM und IPCHAINS
Mason - für
schnelle Erzeugung von Regelsätzen(on-the-fly)
Ja, es funktioniert mit dynamischen IP-Adressen, sowohl mittels PPP als auch über einen DHCP/BOOTP-Server. Die Adresse jedoch muß eine gültige Internet - IP-Adresse sein, wie sie normalerweise von IS-Providern geführt werden. Natürlich sind auch statische Adressen erlaubt. Wenn Sie den Einsatz eines erweiterten und sichereren Regelsatzes oder die Verwendung von Portumleitern unter dynamischer IP-Adresse planen, müssen die Regeln Jedesmal nach Änderung der IP-Adresse neu geladen werden. Genaueres über den Aufbau von erweiterten Firewall-Regelsätzen mit dynamischer IP-Adresse vermitteln die erweiterten IPFWADM- bzw. IPCHAINS- Regelsätze.
Ja, unter der Voraussetzung, daß Linux diese Netzwerkschnittstelle überhaupt unterstützt. Wenn Sie die IP-Adresse dynamisch empfangen, lesen Sie bitte die Sektion über dynamische IP-Adressen dieser FAQ.
Definitiv! Masquerading ist vollständig transparent zu Diald oder PPP. Das einzige, überwindbare Hindernis entsteht bei Anwendung eines erweiterten Firewall-Regelsatzes mit dynamischer IP-Adresse. Lesen Sie bitte die Sektion über dynamische IP-Adressen dieser FAQ.
Es ist sehr schwierig, eine Übersicht aller unterstützten Anwendungen zu behalten. Trotzdem läßt sich sagen, daß die meisten standarten Internet-Dienste wie WWW-Surfen(Netscape, MSIE etc.), FTP(wie z.B. WS_FTP), TELNET, SSH, Real Audio, POP3(einkommende Mailpost), SMTP(ausgehende Mailpost), etc. praktisch einwandfrei laufen. Eine vollständigere Liste von Masq-kompatiblen Applikationen findet sich in der Clients-Sektion dieser HOWTO.
Programme, die komplexere Protokolle oder spezielle Verbindungsmethoden verwenden wie es etwa Videokonferenz-Software tut, benötigen den Einsatz spezieller Hilfswerkzeuge. Für genauere Angaben hinzu sehen Sie bitte die Seite von
Lee Nevo.
Unabhängig davon welche Linux-Distribution Sie verwenden, die Einrichtung von Masquerading, wie sie in dieser HOWTO beschrieben wird, sollte auf allen derzeit verfügbaren Linux-Systemen greifen können. Manche Distributionen setzen auf GUI oder spezielle Konfigurationsdateien, die die Einrichtung erleichtern. Wir versuchen unser Bestes, um diese HOWTO so allgemein wie möglich zu halten.
Per Voreinstellung setzt IP-Masq die Auszeiten für TCP-Sitzungen, TCP-FIN und
UDP-Verkehr auf 15 Minuten. Es wird für die meisten Benutzer die Einstellung
von folgenden Auszeiten empfohlen(wie bereits in dieser HOWTO für den
/etc/rc.d/rc.firewall-Regelsatz beschrieben):
Linux 2.0.x mit IPFWADM:
# Masq-Auszeiten(timeouts)
#
# 2 Std. Auszeit fuer TCP-Sitzungen
# 10 Sek. Verkehrsauszeit nach dem Empfang des letzten TCP/IP-Paketes
# 60 Sek. Auszeit fuer UDP-Verkehr(Maskierte ICQ-Benutzer muessen
# 30 Sek. Firewall-Auszeit im ICQ-Programm selbst einstellen)
#
/sbin/ipfwadm -M -s 7200 10 60
Linux 2.2.x mit IPCHAINS:
# Masq-Auszeiten(timeouts)
#
# 2 Std. Auszeit fuer TCP-Sitzungen
# 10 Sek. Verkehrsauszeit nach dem Empfang des letzten TCP/IP-Paketes
# 60 Sek. Auszeit fuer UDP-Verkehr(maskierte ICQ-Benutzer muessen
# 30 Sek. Firewall-Auszeit im ICQ-Programm selbst einstellen)
#
/ipchains -M -S 7200 10 60
Dieser Fehler ereignet sich nur mit dynamischen IP-Adressen. Wenn die
Verbindung zum ersten Mal hochkommt, kennt das Masquerading-Programm die neue
Adresse noch nicht und sendet die Pakete ins Nichts. Es gibt für diese
Eigenart eine Lösung. Geben Sie folgende Zeile in Ihr
/etc/rc.d/rc.firewall-Script:
# Dynamische IP-Adressen:
#
# Wenn Sie die IP-Adresse dynamisch zugeteilt bekommen, ist
# die folgende Option von Vorteil, da sie das Arbeiten mit Diald
# und ähnlichen Programmen deutlich erleichtert.
#
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
Es gibt für dieses Verhalten zwei mögliche Ursachen. Die Erste ist sehr wahrscheinlich, die Zweite dagegen sehr unwahrscheinlich.
Trotzdem keine Sorgen. Die beste Lösung für alle Zwecke ist in diesem Fall die Festlegung der MTU für die Internetverbindung auf 1500. Manche Benutzer werden sich dagegen sträuben, weil das die Performance einiger spezifischer Programme wie TELNET oder die von Spielen herabsetzt, aber die Einbusen sind wirklich nicht groß. Andererseits steigert sich die Geschwindigkeit der HTTP- und FTP-Transfers.
Für die Änderung der MTU-Zahl(Maximal Transfer Units) überprüfen Sie zuerst
den gegenwärtigen Wert für die Internetverbindung. Geben Sie dafür den Befehl
»/bin/ifconfig« ein. Aus der Ausgabe läßt sich der MTU-Wert für die
jeweilige Internet-Schnittstelle ablesen. Dieser Wert sollte 1500
betragen. Ethernetverbindungen haben diesen Wert normalerweise voreingestellt,
aber PPP hat meistens eine MTU von 576 und sollte also geändert werden.
Der Wert läßt sich in der Datei /etc/ppp/options festlegen. Am
Anfang der Datei schreiben Sie die Zeilen »mtu 1500« und »mru
1500«, speichern und restarten PPP. Wie oben gezeigt, überprüfen Sie
nochmal, ob die MTU- und MRU-Werte jetzt korrekt sind.
/dev/cua*-Port oder ein /dev/ttyS*-Port? Es sollte
der /dev/ttyS*-Port sein, denn die cua-Form ist veraltet und kann
Manchmal die Verbindung auf sehr abrupte Weise stören.
Es kann dafür nur einige wenige Gründe geben:
dmesg | more
2.0.x-Betriebssystemkerne: Die 2.0.x-Kerne sind in dieser Hinsicht sehr
unpraktisch, weil sie keine direkte Mitteilung der Taktrate für die seriellen
Ports erlauben. Also ist es notwendig, in Ihrem PPPd-Startscript der aktuellen
PPPd-Startzeile den Wert 38400 zuzuordnen, und in einem der Startscripts wie
/etc/rc.d/rc.local(bei SuSE ist es sbin/boot.local) oder
/etc/rc.d/rc.serial den folgenden Befehl für einen Modem am
COM2-Port unterzubringen:
setserial /dev/ttyS1 spd_vhi
spd_vhi-Option. Also ist nur eine
Umstellung der PPPd-Startzeile in Ihrem PPPd-Script für die Einschließung des
Wertes »115200« notwendig.
Im Allgemeinen werden Sie wahrscheinlich nur zwei Typen von Meldungen bekommen:
Wenn die Tips nicht viel nutzen, versuchen Sie es mit der zusätzlichen Zeile
-vj im /etc/ppp/options-Script. Den Re-Start von PPPd nach
der Änderung nicht vergessen.
Folgende Meldungen wurden von Regelsätzen erzeugt, bei denen alle Zeilen mit
DENY(verweigern) oder REJECT(zurückweisen) mit der Option -o
versehen wurden, so daß über alle vom Firewall aufgehaltenen Pakete in den
SYSLOG-Dateien Buch geführt wird. Diese Dateien befinden sich bei Redhat im
Ordner /var/log, bei Slackware in /var/adm. Ein Blick in
diese Firewall-Logs zeigt etwa folgende Meldungen:
--------------------------------------------------------------------
IPFWADM:
Feb 23 07:37:01 Roadrunner kernel: IP fw-in rej eth0 TCP 12.75.147.174:1633
100.200.0.212:23 L=44 S=0x00 I=54054 F=0x0040 T=254
IPCHAINS:
Packet log: input DENY eth0 PROTO=17 12.75.147.174:1633 100.200.0.212:23
L=44 S=0x00 I=54054 F=0x0040 T=254
--------------------------------------------------------------------
Feb 23 um 07:37:01
zurückgewiesen.
RoadRunner.
IP oder TCP/IP - Das Paket kam
in den Firewall(fw-in). Andere Möglichkeiten wären
hinaus(fw-out) oder umleiten(fw-fwd).
rej). Andere Möglichkeiten
wären deny(verweigern) oder accept(akzeptieren)
eth0(hier Internet-Verbindung)
TCP-Paket
12.75.147.174 über Port
1633.
100.200.0.212 über Port 23
oder TELNET. Wenn Sie nicht wissen welcher Port wofür zuständig ist, schauen
Sie in der Datei /etc/services nach
44 Byte
Type of Service(TOS) für das Paket war nicht bestimmt
(keine Sorge wenn Sie das nicht verstehen, es ist hier unwichtig).
ipchains-Benutzer teilen diese Zahl durch 4
IP ID-Nummer 18(keine Sorge wenn
Sie das nicht verstehen, es ist hier unwichtig)
0x0000(keine Sorge wenn Sie das nicht verstehen, es wird hier
nicht gebraucht). Ein Wert, der mit 0x2... oder 0x3...
beginnt, bedeutet, daß das More Fragments-Bit gesetzt ist und
mehrere fragmentierte Pakete ein großes Paket komplettieren.
Beginnt der Wert mit 0x4... oder 0x5..., bedeutet es,
daß das Don't Fragment-Bit gesetzt ist. Alle anderen Werte werden
zur Rekombinierung in das große original Paket genutzt.
TTL)-Wert von 20. Nach jedem
Sprung im Internet wird von diesem Wert eine Eins abgezogen, und, wenn
das Paket nach zwanzig Sprüngen immer noch nicht am Ziel ist, wird es
fallengelassen, weil der gewählte Weg zu umständlich ist.
Ja! Mit ipportfw können alle oder nur ausgewählte
Internetbenutzer Jeden von Ihren maskierten Computern erreichen. Dieses
Thema wird umfassend in der
Portumleiter-Sektion behandelt.
Dieses ist eine Einstellungssache in Ihrer Version von mIRC(hier V 5.51). Um
die Einstellungen vornehmen zu können, trennen Sie zunächst die Verbindung zum
IRC-Server. Jetzt gehen Sie im mIRC-Programm nach »File --> Options«
und wählen »Connect/Options«. Stellen Sie sicher, daß der Port auf
6667 gesetzt ist. Andere Portnummern werden weiter unten behandelt. Als
Nächstes wechseln Sie nach »Connect/LocalInfo« und säubern die Felder
für »Local Host« und »IP address«. Die Checkbox für »Local Host«
ist zu aktivieren(»IP Address« wird grau hinterlegt, also deaktiviert).
Unter »Lookup Method« ist »normal« die richtige Wahl. Das heißt die
»Server«-Einstellung wird in diesem Fall nicht funktionieren.
Das war´s, Sie können die Verbindung zum Server wieder aufnehmen.
Wenn andere IRC-Server-Ports als 6667 benötigt werden(z.B. 6669), müssen Sie
diese im /etc/rc.d/rc.firewall Script in der Zeile, wo das
IRC-Masq-Modul mit »modprobe ip_masq_irc« geladen wird, mit
»ports=6667,6969« dem Masq-Server bekanntmachen. Zusätzliche Ports dürfen,
durch Komma getrennt, angegeben werden.
Schließlich müssen alle IRC-Clients auf allen maskierten Maschinen geschlossen und das IRC-Masq-Modul neu geladen werden:
/sbin/rmmod ip_masq_irc /etc/rc.d/rc.firewall
Ja. Mit im Betriebssystemkern aktivierter »IP-Alias«-Option, aber dieses wird nicht empfohlen. Die Erstellung eines sicheren Firewalls mit nur einer NIC-Karte ist keine einfache Sache. Außerdem wird sich die Anzahl von Fehlern abnormal steigern, weil die einkommenden Pakete sehr schnell, also praktisch zur selben Zeit, wieder über die gleiche Schnittstelle ausgesendet werden müssen. Da NIC-Karten heutzutage weniger als 20 Mark kosten, ist eine Neuanschaffung sehr zu empfehlen.
Wenn Sie trotzdem an der Sache interessiert sind, ist gegebenenfalls die
Erstellung eines neuen Kerns mit Einbindung von IP-Aliasing notwendig. Bitte
nach der Kompilierung einen Neustart des Betriebssystems nicht vergessen. Nun
muß Linux zur Nutzung der neuen Schnittstellen angewiesen werden(z.B.
/dev/eth0:1, etc.). Danach darf diese als normale
Ethernet-Schnittstelle angesprochen werden.
netstat-Befehl meine maskierten Verbindungen anzeigen, aber es funktioniert nicht.
Es gibt tatsächlich Fälle mit Masquerading-Verbindungen in denen »netstat« versagt. Nach einem Neustart von Linux produziert »netstat -M« die korrekte Ausgabe, aber nach einigen, erfolgreich ausgeführten ICMP-Diensten wie Ping, Traceroute, etc. bricht es ab mit einer Fehlermeldung wie:
masq_info.c: Internal Error `ip_masquerade unknown type'
/sbin/ipfwadm -M -l«. Sie werden
feststellen, daß, sobald die Auszeiten für ICMP-Masq-Einträge ablaufen, der
netstat-Befehl wieder einsatzbereit ist.
Es ist möglich. Die Beschreibung liegt außerhalb der Grenzen dieses Dokuments, aber Auskunft bietet John Hardins
PPTP Masq-Webseite
Als Erstes lesen Sie bitte Steve Grevemeyers
MASQ Applications page
LooseUDP-Patch
NAT PageWenn Sie technisch beschlagen sind, beschnüffeln Sie Ihr Netzwerk mit
dem tcpdump-Programm und versuchen herauszufinden welche Protokolle
und Portnummern das Spiel verwendet. Anhand dieser Informationen stellen Sie
Ihre Frage in der Masquerading-Mailingliste.
Ich wette Sie benutzen IPAUTOFW und/oder haben es in Ihren Betriebssystemkern einkompiliert, wie?? Dieses ist ein bekanntes Problem von IPAUTOFW. Es wird empfohlen, dieses Programm gar nicht erst in den Kern einzubinden, und stattdessen IPPORTFW zu verwenden. Dieses wird in der Portumleiter-Sektion behandelt.
Obwohl das keine direkte Aufgabe von Masquerading ist, nutzen viele Leute den Linux-Masq-Rechner trotzdem als einen SMTP-Server für Mail-Weiterleitungen und bekommen dann etwa die folgende Fehlermeldung:
"error from mail server: we do not relay"
Sendmail: Aktivieren Sie in der Datei /etc/sendmail.cf die
spezifische Mail-Weiterleitung für Ihre maskierten Computer und
addieren deren Host- und Domain-Namen. Außerdem muß die
/etc/hosts-Datei die IP-Adresse und den absoluten Domainnamen(Fully
Qualified Domain Name-FQDN) enthalten. Nach der Konfiguration ist ein Neustart
fällig, damit die Änderungen eingelesen werden können.
IPCHAINS besitzt folgende Merkmale die IPFWADM nicht hat:
Masquerading basiert auf einigen Grundeinstellungen, die in Ihrem Linux-Rechner bezüglich des LAN und der Internetverbindung erfüllt sein müssen:
/usr/src/linux/Documentation/Changes ob die minimalen Anforderungen
für die Funktionalität der Netzwerkdienste erfüllt sind.
IPCHAINS
eingesetzt werden.
IPMASQADM ersetzt. Für die
Umstellung müssen dessen Patche in den Betriebssystemkern eingebunden und
aktiviert, der Kern neu erstellt, und das IPMASQADM-Programm kompiliert und
installiert werden. Und dann ist noch eine Aktuallisierung der Syntax in den
IPAUTOFW/IPPORTFW-Regelsätzen notwendig. Eine Anleitung hinzu enthält die
Portumleiter-Sektion.
IP-Masquerading hat auf jeden Fall die bessere Performance, ist zuverlässiger, braucht weniger Ressourcen und kostet nichts(und ja, ich habe eigene Erfahrungen damit :)
Wenn Sie trotzdem auf Windows bestehen, versuchen Sie es mit folgenden Programmen:
Firesock. Ein Programm von den Machern von Trumpet
Winsock, unterstützt Proxy-Dienste.
Microsoft Proxy. Benötigt einen Windows NT/2000-Server und ist
sehr teuer.
NAT32. Für Win 9x und NT, teuer.
SyGate. Proxy-Server für Win 9x und NT.
WinGate. Professioneller und teuerer Proxy-Server.
WinRoute. Unterstützt NAT.»Internet Connection Sharing« ist ein Begriff Windows 98SE/ME/2000 und verrichtet etwa dieselben Aufgaben, wie IP-Masquerading unter Linux. Was nun vorzuziehen ist, bleibt dem Anwender zu entscheiden, aber hier einige Erfahrungswerte:
Von ICS unter Win 98SE ist abzuraten, da das System als Server überhaupt nicht ausgelegt ist, schon wegen der Einschränkungen, dauernder Fehlermeldungen und Abstürze. In einer Größenordnung von 2 bis 3 Clientrechnern ist dieses vielleicht noch kein großes Problem, aber alles, was drüber liegt verursacht laute Unzufriedenheit schon bei einer Störung in der Woche! Und beurteilen Sie selbst, ob das übertrieben ist.. Außerdem bietet Win 98 serienmäßig keine automatische Einwahl auf Anforderung, was die Mindestanforderung an einen Server sein durfte.
Windows 2000 ist, mal abgesehen von hohen Anforderungen an die Hardware und sehr hohen Beschaffungskosten, eine deutlich bessere Wahl. Bietet aber weniger Zuverlässigkeit, Flexibilität und Konfigurationsmöglichkeiten (Versuchen Sie doch mal, ohne Programmierer zu sein, bei zwei Netzwerkkarten, jeder die Benutzung seiner eigenen Internet-Schnittstelle zuzuweisen). Außerdem ist die Fehlersuche bei einem geschlossenem System wie Windows, wenn es zu größeren Problemen kommen sollte, fast unmöglich und artet sogleich in eine Neuinstallation des Programms oder gar Systems aus.
Die Einrichtung von Masquerading ist relativ aufwendig, erfüllt aber beinahe jeden Konfigurationswunsch, läuft äußerst stabil und bedarf keinerlei Wartung. Ein Linux-Server verrichtet unauffällig jahrelang in der Ecke seine Dienste, und Unauffälligkeit ist wohl das beste Zeugnis eines Servers :) Hinzu kommen minimale Anforderungen an die Hardware, keinerlei Lizenzkosten, gute Performance, hohe Sicherheit und ein offenes System - die beste Voraussetzung für eine Fehleranalyse.
Treten Sie der Linux-Masquerading Entwicklerliste bei und fragen dort die großen Entwickler. Eine E-Mail mit dem Inhalt »subscribe« an masq-dev-request@indyramp.com genügt.
Bitte stellen Sie dort nur Fragen, die die Entwicklung von Masquerading betreffen!!!
Ja, diese HOWTO wird noch betreut. In der Vergangenheit hatten wir wenig Zeit für die Wartung, aber ab Version 1.50 ist das Dokument wieder aktuell.
Wenn Sie sich Themen denken können, die in dieses Dokument aufgenohmen werden sollten, bitte, senden Sie eine E-Mail an Johann Maas ( johann.maas@gmx.net). Es ist sogar besser, wenn Sie auch die nötigen Informationen bereitstellen können. Wir werden die Themen, sobald sie für geeignet und standfest befunden wurden, in dieses Dokument einschließen. Vielen Dank für Ihre Mitarbeit!
Wir brüten derzeit über einer Menge von Verbesserungen, wie logische Bedienungsprüfung, mehr Sicherheit durch Erweiterung der IPFWADM/IPCHAINS-Regelsätze, mehr FAQ-Einträge, etc. Wenn Sie helfen können, bitte tun Sie es!