/usr/share/doc/HOWTO/de-html/DE-Netzwerk-HOWTO-6.html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.65">
 <TITLE>Linux Netzwerk HOWTO : Informationen zum IP Protokoll        </TITLE>
 <LINK HREF="DE-Netzwerk-HOWTO-7.html" REL=next>
 <LINK HREF="DE-Netzwerk-HOWTO-5.html" REL=previous>
 <LINK HREF="DE-Netzwerk-HOWTO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="DE-Netzwerk-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-Netzwerk-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-Netzwerk-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
<HR>
<H2><A NAME="DE-NET3-HOWTO-IP"></A> <A NAME="s6">6.</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6">Informationen zum IP Protokoll        </A></H2>

<H2><A NAME="ss6.1">6.1</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.1">Kernel Optionen</A>
</H2>

<P>Dieser Abschnitt enth&auml;lt Information zum Setzen von 
Kernelparametern. Ein Beispiel sind die Optionen <CODE>ip_forward</CODE> 
und <CODE>ip_bootp_agent</CODE>. Diese Optionen k&ouml;nnen gesetzt werden,
indem der gew&uuml;nschte Wert in eine Datei in
<BLOCKQUOTE><CODE>
<PRE>
/proc/sys/net/ipv4
</PRE>
</CODE></BLOCKQUOTE>

geschrieben wird. Der Dateiname ist dabei der Name der Option.</P>
<P>Um das IP-Forwarding zu aktivieren, w&uuml;rde man folgenden 
Befehl ausf&uuml;hren:
<BLOCKQUOTE><CODE>
<PRE>
echo 1 > /proc/sys/net/ipv4/ip_forward
</PRE>
</CODE></BLOCKQUOTE>
</P>

<H3>Liste allgemeiner IP Optionen</H3>

<P>
<DL>
<DT><B><CODE>ip_forward</CODE></B><DD>
<P>Wenn <CODE>ip_forward</CODE> auf den Wert »0« gesetzt wird, ist das 
IP-Forwarding deaktiviert. Jeder andere Wert aktiviert es.
Diese Option wird zusammen mit Techniken wie dem Routing 
zwischen Schnittstellen durch das IP-Masquerading genutzt.</P>

<DT><B><CODE>ip_default_ttl</CODE></B><DD>
<P>Diese Option legt die Lebenszeit (Time To Live) eines 
IP Paketes fest. Der Standardwert sind 64 Millisekunden.</P>

<DT><B><CODE>ip_addrmask_agent</CODE> - BOOLEAN</B><DD>
<P>Soll auf »ICMP ADDRESS MASK« Anfragen geantwortet werden. 
Standard ist »TRUE« (Router) »FALSE« (Host).</P>

<DT><B><CODE>ip_bootp_agent</CODE> - BOOLEAN</B><DD>
<P>Option zum Akzeptieren von Paketen mit Quelladressen 
nach dem Schema 0.b.c.d und dieser Host, eine Broadcast- 
oder Multicast-Adresse als Ziel. Normalerweise werden solche
Pakete ignoriert. Standard ist »FALSE«.</P>

<DT><B><CODE>ip_no_pmtu_disc</CODE> - BOOLEAN</B><DD>
<P>Deaktivieren des Path MTU Discovery (automatische Ermittlung
der MTU einer Verbindung). Standard ist »FALSE«.</P>

<DT><B><CODE>ip_fib_model</CODE> - INTEGER</B><DD>
<P>0: (Standard) Standardmodell, alle Routen sind in Klasse »MAIN«.
1: Standardrouten sind in Klasse »DEFAULT«.
2: RFC&nbsp;1812 kompatibles Modell: Interface Routen sind in Klasse
»MAIN«, Gateway Routen sind in Klasse »DEFAULT«. </P>
</DL>
</P>

<H2><A NAME="ss6.2">6.2</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.2">EQL - Lastverteilung auf mehrere Leitungen        </A>
<!--EQL-->       <!--Netzwerk!Treiber!EQL-->       <!--Kernel!Netzwerk!EQL--></H2>

<P>EQL Devices haben den Namen <CODE>eql</CODE>. Bei den Standard Kernels gibt es nur
eines dieser Devices. Es nutzt mehrere Point-to-Point Verbindungen
(PPP, SLIP, PLIP) und fa&szlig;t sie zu einer einzigen logischen Leitung
zusammen, um dar&uuml;ber eine TCP/IP Verbindung aufzubauen. Der Hintergrund
dabei ist, da&szlig; mehrere langsame Leitungen oft billiger als eine schnelle
sind.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Network device support  --->
    [*] Network device support
    &lt;*> EQL (serial line load balancing) support
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Um diesen Mechanismus zu nutzen, m&uuml;ssen beide Rechner EQL
unterst&uuml;tzen. Dies ist mit Linux, neueren Dial-in Servern und 
Livingstone Portmastern m&ouml;glich.</P>
<P>Um EQL richtig zu konfigurieren, ben&ouml;tigt man die EQL Tools:
<BLOCKQUOTE><CODE>
<A HREF="http://home.indyramp.net/masq/eql/files/eql-1.2.tar.gz">http://home.indyramp.net/masq/eql/files/eql-1.2.tar.gz</A></CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration ist sehr logisch aufgebaut. Zun&auml;chst wird das
EQL Interface konfiguriert. Es verh&auml;lt sich wie jedes andere
Netzwerkinterface auch; man konfiguriert IP Adresse und MTU mittels
<CODE>ifconfig</CODE>, also etwa so:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eql 192.168.10.1 mtu 1006
route add default eql
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Als n&auml;chstes m&uuml;ssen die zu nutzenden Verbindungen von Hand aufgebaut
werden. Jede denkbare Kombination von Point-to-Point Verbindungen ist
m&ouml;glich. Lesen sie diesbez&uuml;glich die entsprechenden Abschnitte dieses
Dokumentes.</P>
<P>Nun m&uuml;ssen diese seriellen Verbindungen mit dem EQL Device verkn&uuml;pft werden.
Man nennt das »Enslaving«, der entsprechende Befehl lautet
<CODE>eql_enslave</CODE>, z.B.:
<BLOCKQUOTE><CODE>
<PRE>
eql_enslave eql sl0 28800
eql_enslave eql ppp0 14400
</PRE>
</CODE></BLOCKQUOTE>

Die angegebene ungef&auml;hre Geschwindigkeit hat keinen direkten
Hardwarebezug. Der EQL Treiber nimmt diese Werte lediglich als
Anhaltspunkt, um die Datagramme m&ouml;glichst sinnvoll auf die vorhandenen
Leitungen zu verteilen. Man kann die Werte also f&uuml;r das Feintuning
durchaus frei ver&auml;ndern.</P>
<P>Um eine Leitung wieder aus dem EQL Verbund zu entfernen, dient der Befehl
<CODE>eql_emancipate</CODE>. Wieder ein Beispiel:
<BLOCKQUOTE><CODE>
<PRE>
eql_emancipate eql sl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Routing wird wie f&uuml;r jede andere Point-to-Point Verbindung
aufgesetzt. Der einzige Unterschied ist, das anstelle des seriellen
Device das EQL-Device angegeben wird:
<BLOCKQUOTE><CODE>
<PRE>
route add default eql0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der EQL Treiber wurde von 
Simon Janes (<CODE>
<A HREF="mailto:simon@ncm.com">simon@ncm.com</A></CODE>) entwickelt. Weitere Informationen zu EQL
bietet die HOWTO <EM>
<A HREF="http://home.indyramp.net/eql/eql.html">Using EQL With Linux</A></EM> von Robert Novak. Au&szlig;erdem sollte
die aktuelle Datei <CODE>Documentation/networking/eql.txt</CODE> der
Kernelquellen gelesen werden.</P>

<H2><A NAME="ss6.3">6.3</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.3">IP Accounting (Linux 2.0)        </A>
<!--IP!Accounting-->       <!--Netzwerk!Treiber!IP Accounting-->       <!--Kernel!Netzwerk!IP Accounting-->       <!--ipfwadm!IP Accounting--></H2>

<P>IP Accounting im Kernel erlaubt es, Daten &uuml;ber die Nutzung des
Netzwerkes zu sammeln und zu analysieren. Die Daten umfassen die Anzahl
der Pakete bzw. Bytes seit dem letzten Reset der Z&auml;hler. Es k&ouml;nnen eine
Vielzahl von Regeln festgelegt werden, um die verschiedenen Z&auml;hler den
eigenen Bed&uuml;rfnissen anzupassen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    [*] IP: accounting
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Nach Kompilierung und Installation des Kernels ben&ouml;tigen sie das
Programm <CODE>ipfwadm</CODE>, um das IP Accounting zu konfigurieren. Es gibt
eine Menge unterschiedlicher Wege, die Accounting Information in
verschiedene Bereiche aufzuspalten. Hier ist ein einfaches Beispiel als
Anregung; f&uuml;r weitergehende Informationen sollten Sie die Manual Page zu 
<CODE>ipfwadm</CODE> lesen.</P>
<P>Das Szenario f&uuml;r das Beispiel ist folgendes: Ein lokales Ethernet ist
&uuml;ber eine serielle PPP-Leitung mit dem Internet verbunden. Im Internet
steht ein Rechner, der einige Dienste zur Verf&uuml;gung stellt. Sie sind
daran interessiert, zu erfahren, welchen Anteil der Auslastung durch die
Dienste <CODE>telnet</CODE>, <CODE>rlogin</CODE>, FTP und WWW verursacht wird.</P>
<P>Eine entsprechende Konfiguration sieht so aus:
<BLOCKQUOTE><CODE>
<PRE>
#
# L&ouml;schen der bestehenden Accounting Regeln
ipfwadm -A -f
#
# Neue Regeln f&uuml;r das lokale Ethernet Segment
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 20
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 20
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 23
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 23
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 80
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 80
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 513
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 513
ipfwadm -A in -a -P tcp -D 44.136.8.96/29
ipfwadm -A out -a -P tcp -D 44.136.8.96/29
ipfwadm -A in -a -P udp -D 44.136.8.96/29
ipfwadm -A out -a -P udp  -D 44.136.8.96/29
ipfwadm -A in -a -P icmp -D 44.136.8.96/29
ipfwadm -A out -a -P icmp -D 44.136.8.96/29
#
# Default Regeln
ipfwadm -A in -a -P tcp -D 0/0 20
ipfwadm -A out -a -P tcp -S 0/0 20
ipfwadm -A in -a -P tcp -D 0/0 23
ipfwadm -A out -a -P tcp -S 0/0 23
ipfwadm -A in -a -P tcp -D 0/0 80
ipfwadm -A out -a -P tcp -S 0/0 80
ipfwadm -A in -a -P tcp -D 0/0 513
ipfwadm -A out -a -P tcp -S 0/0 513
ipfwadm -A in -a -P tcp -D 0/0
ipfwadm -A out -a -P tcp -D 0/0
ipfwadm -A in -a -P udp -D 0/0
ipfwadm -A out -a -P udp  -D 0/0
ipfwadm -A in -a -P icmp -D 0/0
ipfwadm -A out -a -P icmp -D 0/0
#
# Auflisten der Regeln
ipfwadm -A -l -n
#
</PRE>
</CODE></BLOCKQUOTE>

Der letzte Befehl zeigt eine Auflistung aller Accounting Regeln und
zeigt die aufsummierten Zahlenwerte an.</P>
<P>Ein wichtiger Punkt bei der Auswertung der Accounting Informationen ist,
da&szlig; die Z&auml;hler f&uuml;r <EM>alle</EM> zutreffenden Regeln erh&ouml;ht werden.  F&uuml;r
eine genaue, differentielle Analyse mu&szlig; man also ein wenig rechnen.
Um z.B. herauszufinden, welcher Datenanteil nicht von FTP, telnet,
rlogin oder WWW herr&uuml;hrt, m&uuml;ssen die Summe der Zahlenwerte der einzelnen
Ports subtrahiert werden von der Regel, die alle Ports umfa&szlig;t:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -A -l -n
IP accounting rules
 pkts bytes dir prot source               destination          ports
    0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 20
    0     0 out tcp  44.136.8.96/29       0.0.0.0/0            20 -> *
    0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 23
    0     0 out tcp  44.136.8.96/29       0.0.0.0/0            23 -> *
   10  1166 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 80
   10   572 out tcp  44.136.8.96/29       0.0.0.0/0            80 -> *
  242  9777 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 513
  220 18198 out tcp  44.136.8.96/29       0.0.0.0/0            513 -> *
  252 10943 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> *
  231 18831 out tcp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 in  udp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 out udp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 in  icmp 0.0.0.0/0            44.136.8.96/29       *
    0     0 out icmp 0.0.0.0/0            44.136.8.96/29       *
    0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 20
    0     0 out tcp  0.0.0.0/0            0.0.0.0/0            20 -> *
    0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 23
    0     0 out tcp  0.0.0.0/0            0.0.0.0/0            23 -> *
   10  1166 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 80
   10   572 out tcp  0.0.0.0/0            0.0.0.0/0            80 -> *
  243  9817 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 513
  221 18259 out tcp  0.0.0.0/0            0.0.0.0/0            513 -> *
  253 10983 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> *
  231 18831 out tcp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 in  udp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 out udp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 in  icmp 0.0.0.0/0            0.0.0.0/0            *
    0     0 out icmp 0.0.0.0/0            0.0.0.0/0            * 
</PRE>
</CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.4">6.4</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.4">IP Aliasing        </A>
<!--IP!Aliasing-->       <!--Netzwerk!Treiber!IP Aliasing-->       <!--Kernel!Netzwerk!IP Aliasing--></H2>

<P>Es gibt einige Anwendungen, bei denen es hilfreich ist, wenn man einem
einzelnen Netzwerk-Device mehrere IP Adressen zuweisen kann. Provider
f&uuml;r Internet Dienste verwenden dies h&auml;ufig, um ihren Kunden speziell
angepa&szlig;te WWW- und FTP-Dienste anzubieten.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    ....
    [*] Network aliasing
    ....
    &lt;*> IP: aliasing support
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration f&uuml;r IP Aliasing ist sehr einfach. Die Aliases werden
virtuellen Netzwerk Devices zugewiesen, die an das tats&auml;chliche Device
gekoppelt sind. Eine einfache Namenskonvention f&uuml;r diese Devices ist
<CODE>&lt;Devicename>:&lt;virtuelle Dev Nummer></CODE>, also z.B. 
<CODE>eth0:0</CODE>, <CODE>ppp0:10</CODE> usw.</P>
<P>Als Beispiel nehmen wir ein Ethernet Netzwerk mit zwei IP Subnetzwerken
an. Um beide gleichzeitig &uuml;ber eine Netzwerkkarte anzusprechen, dienen
folgende Befehle:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eth0:0 192.168.1.1 netmask 255.255.255.0 up
route add -net 192.168.1.0 netmask 255.255.255.0 eth0:0

ifconfig eth0:1 192.168.10.1 netmask 255.255.255.0 up
route add -net 192.168.10.0 netmask 255.255.255.0 eth0:0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Um einen Alias zu l&ouml;schen, h&auml;ngen sie einfach ein »<CODE>-</CODE>« an das Ende
seines Namens an:
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eth0:0- 0
</PRE>
</CODE></BLOCKQUOTE>

Alle mit diesem Device verbundenen Routes werden automatisch ebenfalls
gel&ouml;scht.</P>

<H2><A NAME="ss6.5">6.5</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.5">IP Firewall (Linux 2.0)        </A>
<!--IP!Firewall-->       <!--Firewall-->       <!--Netzwerk!Treiber!IP Firewall-->       <!--Kernel!Netzwerk!IP Firewall-->       <!--ipfwadm!IP Firewall--></H2>

<P>Alles was mit IP Firewall und Firewalls allgemein zu tun hat, wird
ausf&uuml;hrlich im <EM>
<A HREF="http://www.tldp.org/HOWTO/Firewall-HOWTO.html">Firewall and Proxy Server HOWTO</A></EM> (Englisch) 
erl&auml;utert. Ein IP Firewall erlaubt es, den Rechner oder ein ganzes
Netzwerk gegen unerlaubte Netzzugriffe abzuschotten, indem Datenpakete
von und zu angegebenen IP-Adressen gefiltert werden. Es existieren drei
unterschiedliche Klassen f&uuml;r Regeln: Incoming Filter, Outgoing Filter
und Forward Filter. Incoming Filter werden auf Datenpakete
angewandt, die &uuml;ber eine Netzwerkschnittstelle empfangen werden.
Outgoing Filter gelten f&uuml;r Datenpakete, die &uuml;ber eine
Netzwerkschnittstelle ausgegeben werden. Forward Filter werden auf
Datenpakete angewandt, die zwar angenommen werden, aber nicht f&uuml;r den
eigenen Rechner bestimmt sind, also solche, die gerouted werden.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    [*] Network firewalls
    ....
    [*] IP: forwarding/gatewaying
    ....
    [*] IP: firewalling
    [ ] IP: firewall packet logging
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration eines IP Firewall wird mit dem Befehl <CODE>ipfwadm</CODE>
durchgef&uuml;hrt. Wie bereits erw&auml;hnt bin ich kein Experte in Sachen
Sicherheit. Obwohl hier ein Beispiel f&uuml;r die Konfiguration angegeben
wird, sollten Sie weitere Nachforschungen auf diesem Gebiet anstellen
und ihre eigenen Regeln zusammensuchen, wenn Sie wirklich auf Sicherheit
bedacht sind.</P>
<P>Am weitesten verbreitet ist die Benutzung von IP Firewalls, um einen
Linux-Rechner als Router und Firewall Gateway f&uuml;r ein lokales Netzwerk
einzusetzen und dieses gegen unerlaubten Zugriff von au&szlig;erhalb zu
sichern.</P>
<P>Die folgende Konfiguration basiert auf einem Beitrag von 
Arnt Gulbrandsen (<CODE>
<A HREF="mailto:agulbra@troll.no">agulbra@troll.no</A></CODE>).</P>
<P>Das Beispiel beschreibt die Konfiguration der Firewall-Regeln des
Linux Firewall/Router Rechners aus folgendem Schaubild:
<BLOCKQUOTE><CODE>
<PRE>
-                                   -
 \                                  | 172.16.37.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |  172.16.174.30 | Linux |      |
NET =================|  f/w  |------|    ..37.19
    |    PPP         | router|      |  --------
   /                 ---------      |--| Mail |
  /                                 |  | /DNS |
 /                                  |  --------
-                                   -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die folgenden Befehle geh&ouml;ren eigentlich in eine <CODE>rc</CODE>-Datei, so da&szlig;
sie automatisch bei jedem Systemstart ausgef&uuml;hrt werden. Um maximale
Sicherheit zu erreichen, sollten sie <EM>nach</EM> der Konfiguration der
Netzwerk Devices, aber <EM>vor</EM> deren Aktivierung ausgef&uuml;hrt werden.
Dadurch wird ein Einbruch w&auml;hrend des Bootens unterbunden.
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh

# L&ouml;schen der Forwarding Regeln
# Default Policy auf "accept"

/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p accept

# .. ebenso fuer "Incoming"

/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p accept

# Als erstes das PPP Interface schlie&szlig;en.
# Besser w&auml;re hier "-a deny" anstelle von "-a reject -y",
# aber dann w&auml;re es auch nicht mehr m&ouml;glich, &uuml;ber dieses 
# Interface selber eine Verbindung aufzubauen.
# Das -o veranla&szlig;t, da&szlig; alle geblockten Datagramme 
# protokolliert werden. Das verbraucht viel Plattenplatz,
# andernfalls ist man aber &uuml;ber Angriffsversuche oder 
# Fehlkonfiguration im Unklaren.

/sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 \
              -D 172.16.174.30

# Einige offensichtlich falsche Pakete werden sofort
# abgewiesen: Von multicast/anycast/broadcast Adressen 
# sollte nichts kommen.

/sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24

# Auch vom Loopback Netzwerk sollten keine Pakete auf der
# Leitung erscheinen. 

/sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24

# Eingehende SMTP und DNS Verbindungen werden akzeptiert,
# aber nur an den Mail/Nameserver.

/sbin/ipfwadm -F -a accept -P tcp -S 0/0 \
              -D 172.16.37.19 25 53

# DNS verwendet UDP und TCP, deshalb mu&szlig; das auch 
# freigegeben werden.

/sbin/ipfwadm -F -a accept -P udp -S 0/0 \
              -D 172.16.37.19 53

# "Antworten" von gef&auml;hrlichen Ports wie NFS und Larry 
# McVoys NFS Erweiterung werden abgelehnt.  Wer SQUID 
# verwendet, sollte dessen Ports hier ebenfalls angeben.

/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
              -D 172.16.37.0/24 2049 2050

# Antworten an andere User Ports sind OK

/sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
        -D 172.16.37.0/24 53 1024:65535

# Eingehende Verbindungen mit identd werden geblockt.
# Hier wird "reject" verwendet, damit dem anderen 
# Rechner sofort mitgeteilt wird, das weitere Versuche
# sinnlos sind. Andernfalls w&uuml;rden Verz&ouml;gerungen durch
# timeouts von ident auftreten.

/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 \
              -D 172.16.37.0/24 113

# Einige Standard-Dienste werden f&uuml;r Verbindungen von 
# den Netzwerken 192.168.64 und 192.168.65 akzeptiert; 
# das sind Freunde, denen wir trauen.

/sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
              -D 172.16.37.0/24 20:23

# Alles von innerhalb des lokalen Netzes wird akzeptiert
# und weitergeleitet. 

/sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0

# Alle anderen eingehenden TCP Verbindungen werden 
# verweigert und protokolliert. Falls FTP nicht 
# funktioniert, h&auml;ngen Sie ein 1:1023 an.

/sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 \
              -D 172.16.37.0/24

# ... ebenfalls f&uuml;r UDP

/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 \
              -D 172.16.37.0/24
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Gute Firewall Konfigurationen sind etwas trickreich. Dieses Beispiel
sollte einen brauchbaren Anfang liefern. Die Hilfeseite zu <CODE>ipfwadm</CODE>
gibt weitere Unterst&uuml;tzung bei der Konfiguration. Wenn Sie vorhaben,
einen Firewall einzurichten, erkundigen Sie sich auch bei
vertrauensw&uuml;rdigen Bekannten und sammeln sie soviel Hinweise und
Ratschl&auml;ge wie m&ouml;glich. Suchen sie auch jemanden, der ein paar
Zuverl&auml;ssigkeits- und Funktionstests von au&szlig;erhalb durchf&uuml;hrt.</P>

<H2><A NAME="ss6.6">6.6</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.6">IP/IP Kapselung (IP Tunneling)        </A>
<!--IP!IP!Kapselung-->       <!--IP!Tunnel-->       <!--Netzwerk!Treiber!IP Tunnel--></H2>

<P>Warum sollte man IP Pakete nochmals in IP Pakete stecken? Das mag
seltsam klingen, wenn man die Anwendungen nicht kennt. Die zwei 
h&auml;ufigsten Anwendungsf&auml;lle sind der Mobilfunk mit Mobile-IP und
das IP-Multicasting. Dabei ist Amateur Radio vermutlich die
am weitesten verbreitete aber am wenigsten bekannte Anwendung.</P>
<P><B>Kernel Optionen</B>:
<BLOCKQUOTE><CODE>
<PRE>
        Networking options  --->
            [*] TCP/IP networking
            [*] IP: forwarding/gatewaying
            ....
            &lt;*> IP: tunneling
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>IP Tunnel Devices werden mit <CODE>tunl0</CODE>, <CODE>tunl1</CODE> usw. bezeichnet.</P>
<P>»Aber warum?«. Ok, ok. Die Regeln beim konventionellen IP Routing 
setzen voraus, da&szlig; ein IP Netzwerk durch eine Netzwerkadresse und 
eine Netzwerkmaske eindeutig beschrieben ist. Daraus folgt eine
Reihe von IP-Adressen, die zweckm&auml;&szlig;igerweise alle durch einen 
einzigen Routing-Eintrag behandelt werden. Das bedeutet, da&szlig; man,
vorausgesetzt man ist zu diesem Netzwerk verbunden, jede einzelne
m&ouml;gliche IP-Adresse nutzen kann. Das ist in den meisten F&auml;llen
auch gegeben. F&uuml;r mobile Netzteilnehmer ist es jedoch nicht
m&ouml;glich, immer den gleichen Netzzugang zu nutzen. Das IP Tunneling
erm&ouml;glicht das Umgehen dieser Beschr&auml;nkung, indem Pakete f&uuml;r den
mobilen Netzteilnehmer nochmals eingepackt und an eine andere
IP weitergeleitet werden, &uuml;ber die der Teilnehmer aktuell 
erreichbar ist. Wenn klar ist, da&szlig; der eigene Laptop regelm&auml;&szlig;ig
auf das lokale Netzwerk zugreifen soll, kann dieses so eingerichtet
werden, da&szlig; es Pakete von der IP-Adresse des Laptops empf&auml;ngt und
Pakete f&uuml;r diesen an die jeweils aktuelle Adresse weiterleitet.</P>

<H3>Eine Konfiguration eines getunnelten Netzes.</H3>

<P>
<BLOCKQUOTE><CODE>
<PRE>
 192.168.1/24                          192.168.2/24
     -                                     -
     |      ppp0 =            ppp0 =       |
     |  aaa.bbb.ccc.ddd  fff.ggg.hhh.iii   |
     |                                     |
     |   /-----\                 /-----\   |
     |   |     |       //        |     |   |
     |---|  A  |------//---------|  B  |---|
     |   |     |     //          |     |   |
     |   \-----/                 \-----/   |
     |                                     |
     -                                     -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Bild illustriert einen weitere Anwendung des IP Tunneling; ein
»Virtual Private Network« (VPN). Dieses Beispiel geht von
zwei Rechnern mit einfachen Dialup-Internetverbindungen aus. Jedem
Rechner ist eine eigene IP-Adresse zugewiesen. Hinter jedem der
Rechner befindet sich ein privates lokales Netz. Diese LANs sind
jeweils mit einer eigenen reservierten Netzadresse konfiguriert.
Es soll nun jedem Host aus Netz A m&ouml;glich sein, jeden Host aus Netz B
zu erreichen und umgekehrt (wie als geh&ouml;rten alle demselben Netz an
und als h&auml;tten sie zus&auml;tzlich noch einen Internetzugang). Das kann
mit IP Tunneling erreicht werden. Hinweis: Die IP/IP Kapselung l&ouml;st
nicht das Problem der Kommunikation eines Hosts des VPN mit anderen
Hosts im Internet. Tricks wie z.B. IP Masquerading werden immer noch 
zus&auml;tzlich n&ouml;tig sein. Die IP/IP Kapselung wird typischerweise von den
Rechnern realisiert, die auch als Router fungieren.</P>
<P>Der Linux Router im Netz <CODE>A</CODE> kann mit folgendem Skript 
konfiguriert werden:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# Ethernet Konfiguration
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.1 up
route add -net 192.168.2.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Router im Netz B <CODE>B</CODE> kann entsprechend mit diesem Skript 
konfiguriert werden:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=aaa.bbb.ccc.ddd
#
# Ethernet Konfiguration
ifconfig eth0 192.168.2.1 netmask $mask up
route add -net 192.168.2.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.2.1 up
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Kommando:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>ist so zu lesen: »Versende alle Pakete mit Ziel 
<CODE>192.168.1.0/24</CODE> verpackt in ein IP Tunneling Paket mit 
der Zieladresse <CODE>aaa.bbb.ccc.ddd</CODE>.«</P>
<P>Hinweis: die Tunneling Konfiguration mu&szlig; nat&uuml;rlich auf beiden
Seiten vorgenommen werden. Das Tunneling Device nutzt die Route 
»<CODE>gw</CODE>« im Routingeintrag als <EM>Ziel</EM> des IP Paketes;
dahin wird es also das zu routende Paket weiterschicken.
Der Host mu&szlig; auch wissen, wie er gekapselte IP/IP Pakete entpackt.
Mit anderen Worten, es mu&szlig; ein Tunneling Device konfiguriert werden.</P>

<H3>Eine getunnelte Hostkonfiguration.</H3>

<P>Nicht immer ist es n&ouml;tig, ganze Netzwerke zu routen. M&ouml;glicherweise
mu&szlig; man nur eine einzige IP Adresse routen. In diesem Fall m&uuml;&szlig;te das
Device <CODE>tunl</CODE> des Remote Hosts mit seiner IP im LAN konfiguriert
werden. Der Router A ben&ouml;tigt nur eine Hostroute (und Proxy Arp) anstatt
einer Netzwerkroute samt Tunneling Device. Ver&auml;ndern wir also die
Konfiguration entsprechend. Jetzt gibt es nur noch den Host »<CODE>B</CODE>«
welcher sich so verhalten soll, als w&auml;re er Teil des LANs von
»<CODE>A</CODE>« und als h&auml;tte er eine normale Verbindung in Internet.</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
 192.168.1/24
     -
     |      ppp0 =                ppp0 =
     |  aaa.bbb.ccc.ddd      fff.ggg.hhh.iii
     |
     |   /-----\                 /-----\
     |   |     |       //        |     |
     |---|  A  |------//---------|  B  |
     |   |     |     //          |     |
     |   \-----/                 \-----/
     |                         192.168.1.12
     -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Router »<CODE>A</CODE>« wird folgenderma&szlig;en konfiguriert:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# Ethernet Konfiguration
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.1 up
route add -host 192.168.1.12 gw $remotegw tunl0
#
# Proxy ARP f&uuml;r den Remote Host
arp -s 192.168.1.12 xx:xx:xx:xx:xx:xx pub
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Host »<CODE>B</CODE>« wird so konfiguriert:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=aaa.bbb.ccc.ddd
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.12 up
route add -net 192.168.1.0 netmask $mask gw $remotegwtunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Diese Konfiguration ist typisch f&uuml;r eine Mobile IP Anwendung: ein
einzelner Rechner soll sich frei im Internet bewegen k&ouml;nnen und 
trotzdem eine einzige &uuml;berall nutzbare IP Adresse behalten. F&uuml;r
weitere Informationen &uuml;ber die Handhabung in der Praxis sollten 
Sie den Abschnitt <EM>
<A HREF="#DE-NET3-HOWTO-mobile-ip">Mobile IP</A></EM> lesen.</P>

<H2><A NAME="ss6.7">6.7</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.7">IP Masquerading        </A>
<!--IP!Masquerading-->       <!--Masquerading-->       <!--Netzwerk!Treiber!IP Masquerading-->       <!--Kernel!Netzwerk!IP Masquerading-->       <!--ipfwadm!IP Masquerading--></H2>

<P>Viele Personen setzen eine einfache Einwahlverbindung als Zugang zum
Internet ein. Hierbei wird dem einw&auml;hlenden Rechner praktisch immer
genau eine einzige IP Adresse zugewiesen. Das ist normalerweise
ausreichend, um einem einzelnen Rechner vollen Zugang zu den
M&ouml;glichkeiten des Internet zu geben. Allerdings kann der Rechner
<EM>nicht</EM> direkt als Router ins Internet f&uuml;r andere Rechner verwendet
werden, da diese dann auch eine weltweit eindeutige IP Adresse ben&ouml;tigen
w&uuml;rden. Nun k&ouml;nnte man ja prinzipiell den eigenen Provider bitten,
mehr offizielle IP Adresse zur Verf&uuml;gung zu stellen. Dem stehen jedoch
zwei Gr&uuml;nden entgegen. Zum einen sind IP Adressen im Internet 
ein knappes Gut, zum anderen bieten die meisten Provider solche Leistung
nur in Verbindung mit sehr teuren Vertr&auml;gen f&uuml;r Firmen an.</P>
<P>IP Masquerading erlaubt es nun, dieses Problem zum umgehen, in dem
die anderen Rechner ebenfalls diese eine IP Adresse verwenden und 
zum Provider deshalb als ein einziger Rechner erscheinen - deshalb der Name
»Maskerade«. Ein kleiner Nachteil dabei ist allerdings, da&szlig; dieses
Masquerading immer nur in eine Richtung funktioniert. D.h. der maskierte
Rechner kann zwar Verbindungen nach au&szlig;en aufbauen, er kann aber keine
Anfragen/Verbindungen von au&szlig;enliegenden Rechnern empfangen. Deshalb
funktionieren einige Dienste wie <CODE>talk</CODE> nicht, andere wie
z.B. FTP m&uuml;ssen speziell auf passiven Modus (PASV) konfiguriert
werden, damit sie funktionieren. Zum Gl&uuml;ck sind aber Standard-Dienste
wie <CODE>telnet</CODE>, IRC und WWW davon nicht betroffen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Code maturity level options  --->
    [*] Prompt for development and/or incomplete code/drivers
Networking options  --->
    [*] Network firewalls
    ....
    [*] TCP/IP networking
    [*] IP: forwarding/gatewaying
    ....
    [*] IP: masquerading (EXPERIMENTAL)
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Auf dem Linux Rechner wird SLIP oder PPP ganz normal konfiguriert, wie
f&uuml;r einen Einzelrechner. Au&szlig;erdem besitzt der Rechner aber eine weitere
Netzwerkschnittstelle, z.B. eine Ethernetkarte, &uuml;ber die er mit dem
lokalen Netzwerk verbunden ist. An diesem Netz h&auml;ngen auch die Rechner,
die maskiert werden sollen. Jeder dieser anderen Rechner mu&szlig; nun
zun&auml;chst zu konfiguriert werden, da&szlig; er die IP Adresse des Linux Rechners 
als Gateway bzw. Router verwendet.</P>
<P>Eine typische Konfiguration sieht etwa so aus:
<BLOCKQUOTE><CODE>
<PRE>
-                                   -
 \                                  | 192.168.1.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |                | Linux | .1.1 |
NET =================| masq  |------|
    |    PPP/slip    | router|      |  --------
   /                 ---------      |--| host |
  /                                 |  |      |
 /                                  |  --------
-                                   -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die wichtigsten Konfigurationsbefehle in diesem Fall sind:
<BLOCKQUOTE><CODE>
<PRE>
# Netzwerk Route f&uuml;r Ethernet
route add 192.168.1.0 netmask 255.255.255.0 eth0

# Default Route f&uuml;r den Rest des Internet
route add default ppp0

# Alle Hosts auf dem Netzwerk 192.168.1/24 werden maskiert
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Weitere Informationen &uuml;ber IP Masquerading unter Linux enth&auml;lt die
IP Masquerade Resource Webseite: 
<BLOCKQUOTE><CODE>
<A HREF="http://ipmasq.webhop.net">http://ipmasq.webhop.net</A></CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.8">6.8</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.8">IP Transparent Proxy        </A>
<!--IP!Transparent Proxy-->       <!--Transparent Proxy-->       <!--Netzwerk!Treiber!IP Transparent Proxy-->       <!--Kernel!Netzwerk!IP Transparent Proxy-->       <!--ipfwadm!IP Transparent Proxy--></H2>

<P>IP Transparent Proxy erm&ouml;glicht es, Anfragen f&uuml;r Server oder Dienste auf
anderen Rechnern auf die lokale Maschine umzulenken. Dies ist
z.B. sinnvoll, wenn ein Linux Rechner als Router und Proxy Server
eingesetzt wird. In diesem Fall werden alle Anfragen nach nicht lokalen
Diensten an den lokalen Proxy weitergeleitet.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Code maturity level options  --->
        [*] Prompt for development and/or incomplete code/drivers
Networking options  --->
        [*] Network firewalls
        ....
        [*] TCP/IP networking
        ....
        [*] IP: firewalling
        ....
        [*] IP: transparent proxy support (EXPERIMENTAL)
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration von IP Transparent Proxy wird mit Hilfe des Befehles
<CODE>ipfwadm</CODE> durchgef&uuml;hrt, zum Beispiel so:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -I -a accept -D 0/0 80 -r 8080
</PRE>
</CODE></BLOCKQUOTE>

Dadurch wird jede Verbindungsversuch mit dem Port 80 (WWW) eines
beliebigen Rechners auf den Port 8080 des lokalen Rechners umgeleitet.
Dadurch kann man z.B. sicherstellen, da&szlig; jeglicher WWW Verkehr auf dem
Netzwerk automatisch &uuml;ber ein lokales Cache Programm geleitet wird.</P>

<H2><A NAME="ss6.9">6.9</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.9">IPv6        </A>
<!--IP!Version 6-->       <!--Netzwerk!Treiber!IPv6-->       <!--Kernel!Netzwerk!IPv6--></H2>

<P>Da hat man nun gerade geglaubt, IP Netzwerke ansatzweise zu verstehen,
und nun werden die Regeln ge&auml;ndert. IPv6 ist eine abgek&uuml;rzte Form f&uuml;r
die Version 6 des Internet Protokolls. IPv6 wurde vorrangig entwickelt,
um den Bef&uuml;rchtungen der Internet Gemeinde entgegenzuwirken, da&szlig; es bald
einen Engpa&szlig; bei den IP Adressen g&auml;be. IPv6 Adressen sind 16&nbsp;Byte,
also 128&nbsp;Bit, lang. Au&szlig;erdem enth&auml;lt IPv6 einige weitere &Auml;nderungen,
vorrangig Vereinfachungen, die ein IPv6 Netzwerk einfacher verwaltbar
machen als ein IPv4 Netzwerk.</P>
<P>Die Kernel der Version 2.1.x enthalten bereits eine
funktionierende, wenn auch noch unvollst&auml;ndige Implementation von IPv6.</P>
<P>Wenn Sie mit dieser neuen Generation der Internet Technologie
experimentieren wollen, sollten Sie die 
<EM>
<A HREF="http://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/index.html">IPv6 HOWTO</A></EM> lesen.</P>


<H2><A NAME="ss6.10">6.10</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.10">IPv6 Linux Ressourcen        </A>
<!--IP!Version 6-->       <!--Netzwerk!Treiber!IPv6-->       <!--Kernel!Netzwerk!IPv6--></H2>

<P>
<DL>
<DT><B>IPv6 HOWTO</B><DD>
<P><CODE>
<A HREF="http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/IPv6-HOWTO.html">http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/IPv6-HOWTO.html</A></CODE></P>

<DT><B>IPv6 for Linux</B><DD>
<P><CODE>
<A HREF="http://www.xelia.ch/Linux/IPng.html">http://www.xelia.ch/Linux/IPng.html</A></CODE></P>

<DT><B>Linux IPv6 RPM Project</B><DD>
<P><CODE>
<A HREF="http://v6rpm.jindai.net/v6rpm.html">http://v6rpm.jindai.net/v6rpm.html</A></CODE></P>

<DT><B>IPv6 FAQ/HOWTO</B><DD>
<P><CODE>
<A HREF="http://www.linuxhq.com/IPv6/linux-ipv6.faq.html">http://www.linuxhq.com/IPv6/linux-ipv6.faq.html</A></CODE></P>
</DL>
</P>

<H2><A NAME="DE-NET3-HOWTO-mobile-ip"></A> <A NAME="ss6.11">6.11</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.11">Mobile IP        </A>
<!--Mobile IP-->       <!--IP!Mobile-->       <!--Netzwerk!Treiber!Mobile IP-->       <!--Kernel!Netzwerk!Mobile IP-->       </H2>

<P>Der Ausdruck »IP Mobility« beschreibt die F&auml;higkeit eines Rechners,
seine Verbindung zum Internet an unterschiedliche Punkte zu verlagern,
ohne dabei seine IP Adresse zu &auml;ndern oder die Verbindung zu verlieren.
Normalerweise &auml;ndert sich die IP Adresse eines Rechners, wenn er an
einer anderen Stelle z.B. &uuml;ber ein anderen Netzwerk an das Internet
angekoppelt wird. Mobile IP umgeht dieses Problem, indem dem Rechner
eine feste IP Adresse zugeordnet wird und jeglicher Datenverkehr zu
diesem Rechner durch IP Encapsulation (Tunneling) an die momentan
tats&auml;chlich genutzte IP Adresse umgeleitet wird.</P>
<P>In einem derzeit in Entwicklung befindlichen Projekt sollen alle notwendigen
Programme f&uuml;r IP Mobility unter Linux zusammengetragen werden. Den
gegenw&auml;rtigen Stand der Dinge erfahren Sie auf der 
<EM>Linux Mobile IP Home Page</EM>:
<BLOCKQUOTE><CODE>
<A HREF="http://mosquitonet.stanford.edu/mip/">http://mosquitonet.stanford.edu/mip/</A></CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.12">6.12</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.12">Multicast        </A>
<!--Multicast-->       <!--Netzwerk!Treiber!Multicast-->       <!--Kernel!Netzwerk!Multicast--></H2>

<P>Mit IP Mulicast ist es m&ouml;glich, Datenpakete gleichzeitig an beliebig
viele Rechner in verschiedenen Segmenten von IP Netzwerken zu routen. Dieser
Mechanismus wird ausgenutzt, um eine Internet-weite Verteilung von
z.B. Audio- oder Videodaten zu erm&ouml;glichen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
        [*] TCP/IP networking
        ....
        [*] IP: multicasting
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Ein paar spezielle Programme sowie einige kleinere
Konfigurations&auml;nderungen des Netzwerkes sind n&ouml;tig, um diese
M&ouml;glichkeiten auszunutzen. Weitere Informationen zu Installation und
Konfiguration findet man in der
<EM>
<A HREF="http://www.tldp.org/HOWTO/Multicast-HOWTO.html">Multicast over TCP/IP HOWTO</A></EM>.</P>

<H2><A NAME="ss6.13">6.13</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.13">Traffic Shaper - Ver&auml;ndern erlaubter Bandbreiten</A>
</H2>

<P>Der Traffic Shaper ist ein Treiber, der neue Netzwerk Devices
bereitstellt. Diese k&ouml;nnen in der Bandbreite beschr&auml;nkt werden.
Die Devices selbst benutzen die physikalische Netzwerk Devices
zur &uuml;bertragung und k&ouml;nnen zum Routen des ausgehenden Verkehrs
genutzt werden.</P>
<P>Der Traffic Shaper wurde mit Linux 2.1.15 eingef&uuml;hrt und wurde
auf Linux 2.0.36 zur&uuml;ckportiert (er erschien mit <CODE>2.0.36-pre-patch-2</CODE> 
von Alan Cox, dem Autor des Shaper Device und Maintainer von Linux 2.0).</P>
<P>Der Traffic Shaper kann nur als Modul konfiguriert werden. Dieses wird
mit <CODE>shapecfg</CODE> konfiguriert. Syntaxbeispiele:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
shapecfg attach shaper0 eth1
shapecfg speed shaper0 64000
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Shaper Device kann nur die Bandbreite des ausgehenden Verkehrs
kontrollieren (da die Pakete nur aufgrund der Routingtabelle durch
die Devices des Shapes &uuml;bertragen werden). Eine »Routing nach Quelladressen«
Funktionalit&auml;t k&ouml;nnte beim Beschr&auml;nken der f&uuml;r einen speziellen Host
verf&uuml;gbaren Bandbreite durch einen Linux Router realisiert werden.</P>
<P>Linux 2.2 bringt bereits die Unterst&uuml;tzung f&uuml;r diese Art von Routing mit.
Wenn Sie Linux 2.0 verwenden, probieren Sie den Patch von Mike McLagan.
Lesen Sie die Datei <CODE>Documentation/networking/shaper.txt</CODE>
der Linux Kernelquellen f&uuml;r weitere Informationen.</P>
<P>M&ouml;chten Sie nur mal versuchsweise Traffic Shaping einrichten, dann
probieren Sie <CODE>rshaper-1.01</CODE> (oder neuer) von: 
<BLOCKQUOTE><CODE>
<A HREF="ftp://arcana.linux.it/pub/rshaper">arcana.linux.it:/pub/rshaper</A></CODE></BLOCKQUOTE>
</P>

<HR>
<A HREF="DE-Netzwerk-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-Netzwerk-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-Netzwerk-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
</BODY>
</HTML>
doc-linux-de 2003.10-5 / usr / share / doc / HOWTO / de-html / DE-Netzwerk-HOWTO-6.html
