Masquerading mit Linux

Masquerading Proxies

Einfache TCP- oder UDP-Verbindungen sowie ICMP-Pakete sind ohne Aufwand zu maskieren. Für Applikationsprotokolle, die mehr als eine Verbindung aufbauen, müssen so genannte Masquerading-Proxies zum Einsatz kommen, die den Datenfluss im Kontrollkanal mitlesen und bei Bedarf modifizieren.

Das Standardbeispiel ist aktives FTP. Hier schickt der Client dem Server im Kontrollkanal den Port des Datenkanals und seine IPv4-Adresse, zu welcher der FTP-Server eine Verbindung aufbauen kann. Bei Nutzung privater Adressen hinter einer Firewall ist diese Information für den Server wertlos, da er die vom Client erhaltene Adresse nie erreichen wird und der Port auf der Firewall dafür sicher nicht freigeschaltet ist. Hier tritt nun der FTP-Masquerading-Proxy in Aktion, modifiziert on the fly die übertragenen Daten im Kommandokanal und merkt sich die Werte in einer Tabelle.

Auch andere, standardmäßig von Linux unterstützte Protokolle sind ähnlich abzuarbeiten: etwa CUSeeMe, IRC, Quake, RealAudio und VDOLive. Weitere Module stehen im Internet zur Verfügung und können eingebunden werden. Ein guter Ausgangspunkt für weitere Informationen über Masquerading im Linux-Kernel sind wie immer die HOWTOs.