Masquerading mit Linux

Firewalls mit Proxies bieten einen guten Schutz vor Angriffen. Für manche Anwendungsbereiche sind sie jedoch eher ein Hemmschuh. IP-Masquerading hilft, diese Probleme zu umgehen.

Nicht alles, was über die Weiten des Internets möglich ist, kann heute über Proxies laufen. Direkte Verbindungen ins Internet sind daher für manche Anwendungen zwingend erforderlich. Meist werden im Intranet private IPv4-Adressen aus den Bereichen 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16 (nach RFC 1918) bzw. 169.254.0.0/16 (bei DHCP link local) verwendet, da die Zuteilung von offiziellen IPv4-Adressen in größeren Mengen schwierig geworden ist. Mit solchen Absenderadressen können Clients allerdings nicht direkt mit dem Internet in Kontakt treten, da die Antwortpakete den Weg zurück nicht finden.

Direkte Verbindungen sind ebenfalls nicht möglich, wenn interne Adressen nach außen nicht bekannt werden sollen oder bereits vergeben sind. Hier muss dann Masquerading in Aktion treten. Im Falle statischer Portfilter-Firewalls erhöht dieser Mechanismus auch ein wenig die Sicherheit, denn Antwortpakete werden nur solange durchgelassen, wie das Masquerading für diesen Port aktiv ist.

Wer allerdings an den Einsatz von IPsec von extern über die Firewall zu den internen Clients denkt, der muss sich um einen Pool offizieller IPv4-Adressen kümmern oder auf IPv6 hoffen. Denn IPsec und Masquerading schließen sich aus. Andernfalls können Sie aber auf Masquerading setzen. Die Firewall aus den vergangenen Beiträgen unserer Reihe lässt sich entsprechend konfigurieren.

Die Listings aus diesem Artikel haben wir für Sie als Textfiles in einem Tarball zum Download bereitgestellt. Zum Entpacken speichern Sie die Datei ins Zielverzeichnis und rufen tar -xzvf masquerading_listings.tar.gz auf.