bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Masquerading/NAT? - Verständnisfrage

To: Schulen ans Netz - Anwender <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Masquerading/NAT? - Verständnisfrage
From: Juergen Engeland <juergen.engeland@xxxxxxxxxxx>
Date: Wed, 15 Feb 2012 17:57:29 +0100
Hallo Philipp, hallo Helmut,

wenn Arktur wie vorgesehen
- zwei Netzwerkkarten hat, eine zu den Clients hin (192.168.0.1) und
eine zu einem Router hin (z.B. 192.168.1.2)
- IP-Forwarding aus ist
- die Internetverbindungen der Clients über den Proxy laufen
ist die Sache schwieriger.

Der Router muss IP-Masquerading machen, denn er hat ja zum Internet hin
per DHCP eine öffentliche (dynamische) IP-Adresse bekommen und zu Arktur
hin eine statische private (in meinem Beispiel 192.168.1.1)

Will ich einen Dienst von "draußen" zugänglich machen, so muss ich eine
Portweiterleitung definieren, die alle eingehenden Pakete mit der
Portnummer (z .B. 80 für einen Webserver) an eine bestimmte private
IP-Adresse weiterleitet. Von draußen können die Pakete ja nur an eine
öffentliche IP-Adresse gesendet werden.

Wenn Arktur auf der externen Netzwerkkarte PPPoE fährt (also direkt am
DSL-Modem hängt) muss er IP-Masquerading machen.

Hier das ganze noch mal ausführlicher mit Bildern:
http://www.tcp-ip-info.de/tcp_ip_und_internet/ip_masquerading.htm

Da Arktur nicht routet (IP-Forwarding aus), muss für Clients die anderes
als über den Proxy ins Internet wollen (also nicht http sondern pop3,
imap oder smtp) ein Weg eingerichtet werden. Den Eintrag Standardgateway
könnte man sich bei den Clients schenken, wenn Windows XP darauf nicht
irgendwie zickig reagieren würde ...

Wird dieser Weg wird über masq-ein und masq-aus geschaffen? Hier muss
ich weiterlesen!
Wer kann übernehmen?

Gruß Jürgen


Am 15.02.2012 15:25, schrieb Philipp Flesch:
> Quoting Helmut Hullen <hhullen@xxxxxxxxxxxx>:
>
>
>> Wenn ich den Krempel richtig verstanden habe: ein vorgeschalteter Router
>> lässt erst mal alles von drinnen nach draussen, und er lässt nur sehr
>> wenig (am ehesten http = Port 80) von draussen nach drinnen.
> Naja es hängt halt davon ab, wie man den Router verwendet!
> Am sinnvollsten (um den vollen Umfang von Arktur nutzen zu können)
> bietet er ein Transfernetz (ausschließlich) für Arktur an. So kann
> Arktur hier in der Zugriffssteuerung (Masquerading und Co) punkten.
> Führt aber ggf. zu "Doppel-NAT" - ist zar nicht schön - geht aber
> meist problemlos.
>
> Wenn Arktur nur eine Nebenrolle spielt und der Router auch der
> Standard-Gateway ist, muss Masquerading und Co natürlich am Router
> eingerichtet werden. Meine Empfehlung wäre hier
> 1) alles verbieten
> 2) Arktur darf alles
> 3) ssh und ggf. http und https von Aussen auf Arktur
> 4) Masquerading für bestimmten Dienste von bestimmten PCs aktivieren
>
>
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user
>


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 15.02.2012