Masquerading mit Linux

Konfiguration von Masquerading

Filterregeln, die Pakete zum Maskieren schicken, lassen sich nur in der forward-Liste einfügen. Deren Aktion lautet hierfür MASQ. Die Parameter für die Gültigkeitsdauer setzen Sie mit dem Befehl

ipchains -M -S tcp tcpfin udp

Dabei gibt der erste Wert "tcp" den Zeitraum an, wie lange sich das nächste Paket bei einer bestehenden TCP-Verbindung verzögern darf, ehe der Eintrag gelöscht wird. Zu empfehlen ist hier je nach Anwendung 900 bis 7200 Sekunden (15 Minuten bis 2 Stunden). Ein zu niedriger Eintrag macht sich dadurch bemerkbar, dass bestehende Telnet- oder SSH-Sitzungen ohne oder mit zu groß eingestelltem Keep-Alive-Intervall durch die Firewall plötzlich nicht mehr funktionieren.

"tcpfin" ist die Zeitspanne nach dem ersten FIN-Paket. Einseitig ist die Verbindung bereits abgebaut, es wird jedoch noch auf das FIN-Paket für den entgegengesetzten TCP-Kanal gewartet. Brauchbare Werte liegen hier zwischen 10 und 180 Sekunden.

"udp" ist entsprechend für UDP-Verbindungen zuständig. Eine Zeitspanne zwischen 60 und 300 Sekunden ist hier sinnvoll. Für ICMP kann der Wert nur durch Neukompilieren des Kernels (net/ipv4/ip_masq.c) geändert werden. Ansonsten gelten 60 Sekunden als Standard. Aktuell bestehende maskierte Verbindungen lassen sich mit

netstat -M -n

oder

ipchains -M -L

auflisten.