| SUSE Linux Enterprise Desktop dokumentáció 39. fejezet - Álcázás és tűzfalak / 39.2. Álcázás – alapok | ||||
|---|---|---|---|---|
 | 39. fejezet - Álcázás és tűzfalak | 39.3. Tűzfalak – alapok |  | |
| SUSE Linux Enterprise Desktop dokumentáció 39. fejezet - Álcázás és tűzfalak / 39.2. Álcázás – alapok | ||||
|---|---|---|---|---|
| 39. fejezet - Álcázás és tűzfalak | 39.3. Tűzfalak – alapok | | |
Az álcázás a NAT (hálózati címfordítás) Linux-specifikus formája. Egy kis LAN (amelyben a gépek privát tartományból származó IP-címeket használnak – lásd: 30.1.2. szakasz - Hálózati maszkok és útválasztás) Internethez csatlakoztatásához használható (ahol viszont a hivatalos IP-címek használatosak. Ahhoz, hogy a helyi hálózat gépei csatlakozni tudjanak az Internetre, a privát címeket hivatalosra kell átfordítani. Ezt az útválasztó végzi, amely a LAN és az Internet közötti átjáróként működik. Az alapelv egyszerű: az útválasztó egynél több hálózati csatolóval rendelkezik, jellemzően egy hálózati kártyával és egy másik, Internet-csatlakozást biztosító felülettel. Az utóbbi köti össze az útválasztót a külső világgal, a másik (vagy esetleg a többi) csatoló pedig a helyi hálózat gépeivel. A helyi hálózat gépei az útválasztó hálózati kártyájához (például eth0) csatlakoznak, és a nem helyi hálózaton belüli, hanem azon kívülre címzett csomagjaikat az alapértelmezett átjáróhoz (az útválasztóhoz) küldik.
![[Important]](admon/important.png) | Megfelelő hálózati maszk használata |
|---|---|
A hálózat beállításakor győződjön meg róla, hogy a nyilvános (broadcast) cím és a hálózati maszk minden helyi gép esetén megegyezik. Ha nem, abból probléma származik, mivel a csomagok nem továbbíthatók megfelelően. | |
Mint már említettük, ha a LAN egyik gépe csomagot küld egy internetes címre, akkor az az alapértelmezett útválasztóhoz kerül. Az útválasztót azonban be kell állítani ahhoz, hogy továbbítani tudja az ilyen csomagokat. Biztonsági okokból az alapértelmezett telepítésben ez nem engedélyezett. Az engedélyezéshez állítsa az /etc/sysconfig/sysctl fájlban lévő IP_FORWARD változót IP_FORWARD=yes értékre.
A kapcsolat célgépe látja ugyan az útválasztót, de semmit nem tud meg a belső hálózat azon gépéről, amelyről a csomagok erednek. Ezért hívják ezt a technikát álcázásnak (masquerading). A címfordítás miatt minden válaszcsomag az útválasztóhoz érkezik. Az útválasztónak azonosítania kell a bejövő csomagokat és le kell fordítania a célcímeket, hogy a csomagok a helyi hálózat megfelelő gépéhez kerüljenek.
Mivel a bejövő forgalom irányítása az álcázási (címfordítási) táblázattól függ, kívülről nem lehet kapcsolatot kezdeményezni egy belső gép felé. Az ilyen kapcsolathoz ugyanis nincs bejegyzés a táblázatban (nincs hová továbbítani). A már létesített kapcsolatokhoz pedig egy állapotbejegyzés tartozik a táblázatban, és ezt a bejegyzést másik kapcsolat nem használhatja.
Ez viszont problémákat jelenthet számos alkalmazásprotokoll – például az ICQ, a cucme, az IRC (DCC, CTCP) és az FTP (PORT módban) – alkalmazása esetén. A webböngésző, a szabványos FTP program és számos más program az úgynevezett passzív (PASV) módot használja. A passzív mód használata sokkal kevesebb gondot jelent csomagszűrés és álcázás esetén.
