This file is indexed.

/usr/share/doc/HOWTO/de-html/DE-Netzwerk-HOWTO-6.html is in doc-linux-de 2003.10-5.

This file is owned by root:root, with mode 0o644.

The actual contents of the file can be viewed below.

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD>
 <META NAME="GENERATOR" CONTENT="LinuxDoc-Tools 0.9.65">
 <TITLE>Linux Netzwerk HOWTO : Informationen zum IP Protokoll        </TITLE>
 <LINK HREF="DE-Netzwerk-HOWTO-7.html" REL=next>
 <LINK HREF="DE-Netzwerk-HOWTO-5.html" REL=previous>
 <LINK HREF="DE-Netzwerk-HOWTO.html#toc6" REL=contents>
</HEAD>
<BODY>
<A HREF="DE-Netzwerk-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-Netzwerk-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-Netzwerk-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
<HR>
<H2><A NAME="DE-NET3-HOWTO-IP"></A> <A NAME="s6">6.</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6">Informationen zum IP Protokoll        </A></H2>

<H2><A NAME="ss6.1">6.1</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.1">Kernel Optionen</A>
</H2>

<P>Dieser Abschnitt enth&auml;lt Information zum Setzen von 
Kernelparametern. Ein Beispiel sind die Optionen <CODE>ip_forward</CODE> 
und <CODE>ip_bootp_agent</CODE>. Diese Optionen k&ouml;nnen gesetzt werden,
indem der gew&uuml;nschte Wert in eine Datei in
<BLOCKQUOTE><CODE>
<PRE>
/proc/sys/net/ipv4
</PRE>
</CODE></BLOCKQUOTE>

geschrieben wird. Der Dateiname ist dabei der Name der Option.</P>
<P>Um das IP-Forwarding zu aktivieren, w&uuml;rde man folgenden 
Befehl ausf&uuml;hren:
<BLOCKQUOTE><CODE>
<PRE>
echo 1 > /proc/sys/net/ipv4/ip_forward
</PRE>
</CODE></BLOCKQUOTE>
</P>

<H3>Liste allgemeiner IP Optionen</H3>

<P>
<DL>
<DT><B><CODE>ip_forward</CODE></B><DD>
<P>Wenn <CODE>ip_forward</CODE> auf den Wert »0« gesetzt wird, ist das 
IP-Forwarding deaktiviert. Jeder andere Wert aktiviert es.
Diese Option wird zusammen mit Techniken wie dem Routing 
zwischen Schnittstellen durch das IP-Masquerading genutzt.</P>

<DT><B><CODE>ip_default_ttl</CODE></B><DD>
<P>Diese Option legt die Lebenszeit (Time To Live) eines 
IP Paketes fest. Der Standardwert sind 64 Millisekunden.</P>

<DT><B><CODE>ip_addrmask_agent</CODE> - BOOLEAN</B><DD>
<P>Soll auf »ICMP ADDRESS MASK« Anfragen geantwortet werden. 
Standard ist »TRUE« (Router) »FALSE« (Host).</P>

<DT><B><CODE>ip_bootp_agent</CODE> - BOOLEAN</B><DD>
<P>Option zum Akzeptieren von Paketen mit Quelladressen 
nach dem Schema 0.b.c.d und dieser Host, eine Broadcast- 
oder Multicast-Adresse als Ziel. Normalerweise werden solche
Pakete ignoriert. Standard ist »FALSE«.</P>

<DT><B><CODE>ip_no_pmtu_disc</CODE> - BOOLEAN</B><DD>
<P>Deaktivieren des Path MTU Discovery (automatische Ermittlung
der MTU einer Verbindung). Standard ist »FALSE«.</P>

<DT><B><CODE>ip_fib_model</CODE> - INTEGER</B><DD>
<P>0: (Standard) Standardmodell, alle Routen sind in Klasse »MAIN«.
1: Standardrouten sind in Klasse »DEFAULT«.
2: RFC&nbsp;1812 kompatibles Modell: Interface Routen sind in Klasse
»MAIN«, Gateway Routen sind in Klasse »DEFAULT«. </P>
</DL>
</P>

<H2><A NAME="ss6.2">6.2</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.2">EQL - Lastverteilung auf mehrere Leitungen        </A>
<!--EQL-->       <!--Netzwerk!Treiber!EQL-->       <!--Kernel!Netzwerk!EQL--></H2>

<P>EQL Devices haben den Namen <CODE>eql</CODE>. Bei den Standard Kernels gibt es nur
eines dieser Devices. Es nutzt mehrere Point-to-Point Verbindungen
(PPP, SLIP, PLIP) und fa&szlig;t sie zu einer einzigen logischen Leitung
zusammen, um dar&uuml;ber eine TCP/IP Verbindung aufzubauen. Der Hintergrund
dabei ist, da&szlig; mehrere langsame Leitungen oft billiger als eine schnelle
sind.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Network device support  --->
    [*] Network device support
    &lt;*> EQL (serial line load balancing) support
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Um diesen Mechanismus zu nutzen, m&uuml;ssen beide Rechner EQL
unterst&uuml;tzen. Dies ist mit Linux, neueren Dial-in Servern und 
Livingstone Portmastern m&ouml;glich.</P>
<P>Um EQL richtig zu konfigurieren, ben&ouml;tigt man die EQL Tools:
<BLOCKQUOTE><CODE>
<A HREF="http://home.indyramp.net/masq/eql/files/eql-1.2.tar.gz">http://home.indyramp.net/masq/eql/files/eql-1.2.tar.gz</A></CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration ist sehr logisch aufgebaut. Zun&auml;chst wird das
EQL Interface konfiguriert. Es verh&auml;lt sich wie jedes andere
Netzwerkinterface auch; man konfiguriert IP Adresse und MTU mittels
<CODE>ifconfig</CODE>, also etwa so:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eql 192.168.10.1 mtu 1006
route add default eql
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Als n&auml;chstes m&uuml;ssen die zu nutzenden Verbindungen von Hand aufgebaut
werden. Jede denkbare Kombination von Point-to-Point Verbindungen ist
m&ouml;glich. Lesen sie diesbez&uuml;glich die entsprechenden Abschnitte dieses
Dokumentes.</P>
<P>Nun m&uuml;ssen diese seriellen Verbindungen mit dem EQL Device verkn&uuml;pft werden.
Man nennt das »Enslaving«, der entsprechende Befehl lautet
<CODE>eql_enslave</CODE>, z.B.:
<BLOCKQUOTE><CODE>
<PRE>
eql_enslave eql sl0 28800
eql_enslave eql ppp0 14400
</PRE>
</CODE></BLOCKQUOTE>

Die angegebene ungef&auml;hre Geschwindigkeit hat keinen direkten
Hardwarebezug. Der EQL Treiber nimmt diese Werte lediglich als
Anhaltspunkt, um die Datagramme m&ouml;glichst sinnvoll auf die vorhandenen
Leitungen zu verteilen. Man kann die Werte also f&uuml;r das Feintuning
durchaus frei ver&auml;ndern.</P>
<P>Um eine Leitung wieder aus dem EQL Verbund zu entfernen, dient der Befehl
<CODE>eql_emancipate</CODE>. Wieder ein Beispiel:
<BLOCKQUOTE><CODE>
<PRE>
eql_emancipate eql sl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Routing wird wie f&uuml;r jede andere Point-to-Point Verbindung
aufgesetzt. Der einzige Unterschied ist, das anstelle des seriellen
Device das EQL-Device angegeben wird:
<BLOCKQUOTE><CODE>
<PRE>
route add default eql0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der EQL Treiber wurde von 
Simon Janes (<CODE>
<A HREF="mailto:simon@ncm.com">simon@ncm.com</A></CODE>) entwickelt. Weitere Informationen zu EQL
bietet die HOWTO <EM>
<A HREF="http://home.indyramp.net/eql/eql.html">Using EQL With Linux</A></EM> von Robert Novak. Au&szlig;erdem sollte
die aktuelle Datei <CODE>Documentation/networking/eql.txt</CODE> der
Kernelquellen gelesen werden.</P>

<H2><A NAME="ss6.3">6.3</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.3">IP Accounting (Linux 2.0)        </A>
<!--IP!Accounting-->       <!--Netzwerk!Treiber!IP Accounting-->       <!--Kernel!Netzwerk!IP Accounting-->       <!--ipfwadm!IP Accounting--></H2>

<P>IP Accounting im Kernel erlaubt es, Daten &uuml;ber die Nutzung des
Netzwerkes zu sammeln und zu analysieren. Die Daten umfassen die Anzahl
der Pakete bzw. Bytes seit dem letzten Reset der Z&auml;hler. Es k&ouml;nnen eine
Vielzahl von Regeln festgelegt werden, um die verschiedenen Z&auml;hler den
eigenen Bed&uuml;rfnissen anzupassen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    [*] IP: accounting
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Nach Kompilierung und Installation des Kernels ben&ouml;tigen sie das
Programm <CODE>ipfwadm</CODE>, um das IP Accounting zu konfigurieren. Es gibt
eine Menge unterschiedlicher Wege, die Accounting Information in
verschiedene Bereiche aufzuspalten. Hier ist ein einfaches Beispiel als
Anregung; f&uuml;r weitergehende Informationen sollten Sie die Manual Page zu 
<CODE>ipfwadm</CODE> lesen.</P>
<P>Das Szenario f&uuml;r das Beispiel ist folgendes: Ein lokales Ethernet ist
&uuml;ber eine serielle PPP-Leitung mit dem Internet verbunden. Im Internet
steht ein Rechner, der einige Dienste zur Verf&uuml;gung stellt. Sie sind
daran interessiert, zu erfahren, welchen Anteil der Auslastung durch die
Dienste <CODE>telnet</CODE>, <CODE>rlogin</CODE>, FTP und WWW verursacht wird.</P>
<P>Eine entsprechende Konfiguration sieht so aus:
<BLOCKQUOTE><CODE>
<PRE>
#
# L&ouml;schen der bestehenden Accounting Regeln
ipfwadm -A -f
#
# Neue Regeln f&uuml;r das lokale Ethernet Segment
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 20
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 20
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 23
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 23
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 80
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 80
ipfwadm -A in -a -P tcp -D 44.136.8.96/29 513
ipfwadm -A out -a -P tcp -S 44.136.8.96/29 513
ipfwadm -A in -a -P tcp -D 44.136.8.96/29
ipfwadm -A out -a -P tcp -D 44.136.8.96/29
ipfwadm -A in -a -P udp -D 44.136.8.96/29
ipfwadm -A out -a -P udp  -D 44.136.8.96/29
ipfwadm -A in -a -P icmp -D 44.136.8.96/29
ipfwadm -A out -a -P icmp -D 44.136.8.96/29
#
# Default Regeln
ipfwadm -A in -a -P tcp -D 0/0 20
ipfwadm -A out -a -P tcp -S 0/0 20
ipfwadm -A in -a -P tcp -D 0/0 23
ipfwadm -A out -a -P tcp -S 0/0 23
ipfwadm -A in -a -P tcp -D 0/0 80
ipfwadm -A out -a -P tcp -S 0/0 80
ipfwadm -A in -a -P tcp -D 0/0 513
ipfwadm -A out -a -P tcp -S 0/0 513
ipfwadm -A in -a -P tcp -D 0/0
ipfwadm -A out -a -P tcp -D 0/0
ipfwadm -A in -a -P udp -D 0/0
ipfwadm -A out -a -P udp  -D 0/0
ipfwadm -A in -a -P icmp -D 0/0
ipfwadm -A out -a -P icmp -D 0/0
#
# Auflisten der Regeln
ipfwadm -A -l -n
#
</PRE>
</CODE></BLOCKQUOTE>

Der letzte Befehl zeigt eine Auflistung aller Accounting Regeln und
zeigt die aufsummierten Zahlenwerte an.</P>
<P>Ein wichtiger Punkt bei der Auswertung der Accounting Informationen ist,
da&szlig; die Z&auml;hler f&uuml;r <EM>alle</EM> zutreffenden Regeln erh&ouml;ht werden.  F&uuml;r
eine genaue, differentielle Analyse mu&szlig; man also ein wenig rechnen.
Um z.B. herauszufinden, welcher Datenanteil nicht von FTP, telnet,
rlogin oder WWW herr&uuml;hrt, m&uuml;ssen die Summe der Zahlenwerte der einzelnen
Ports subtrahiert werden von der Regel, die alle Ports umfa&szlig;t:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -A -l -n
IP accounting rules
 pkts bytes dir prot source               destination          ports
    0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 20
    0     0 out tcp  44.136.8.96/29       0.0.0.0/0            20 -> *
    0     0 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 23
    0     0 out tcp  44.136.8.96/29       0.0.0.0/0            23 -> *
   10  1166 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 80
   10   572 out tcp  44.136.8.96/29       0.0.0.0/0            80 -> *
  242  9777 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> 513
  220 18198 out tcp  44.136.8.96/29       0.0.0.0/0            513 -> *
  252 10943 in  tcp  0.0.0.0/0            44.136.8.96/29       * -> *
  231 18831 out tcp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 in  udp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 out udp  0.0.0.0/0            44.136.8.96/29       * -> *
    0     0 in  icmp 0.0.0.0/0            44.136.8.96/29       *
    0     0 out icmp 0.0.0.0/0            44.136.8.96/29       *
    0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 20
    0     0 out tcp  0.0.0.0/0            0.0.0.0/0            20 -> *
    0     0 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 23
    0     0 out tcp  0.0.0.0/0            0.0.0.0/0            23 -> *
   10  1166 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 80
   10   572 out tcp  0.0.0.0/0            0.0.0.0/0            80 -> *
  243  9817 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> 513
  221 18259 out tcp  0.0.0.0/0            0.0.0.0/0            513 -> *
  253 10983 in  tcp  0.0.0.0/0            0.0.0.0/0            * -> *
  231 18831 out tcp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 in  udp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 out udp  0.0.0.0/0            0.0.0.0/0            * -> *
    0     0 in  icmp 0.0.0.0/0            0.0.0.0/0            *
    0     0 out icmp 0.0.0.0/0            0.0.0.0/0            * 
</PRE>
</CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.4">6.4</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.4">IP Aliasing        </A>
<!--IP!Aliasing-->       <!--Netzwerk!Treiber!IP Aliasing-->       <!--Kernel!Netzwerk!IP Aliasing--></H2>

<P>Es gibt einige Anwendungen, bei denen es hilfreich ist, wenn man einem
einzelnen Netzwerk-Device mehrere IP Adressen zuweisen kann. Provider
f&uuml;r Internet Dienste verwenden dies h&auml;ufig, um ihren Kunden speziell
angepa&szlig;te WWW- und FTP-Dienste anzubieten.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    ....
    [*] Network aliasing
    ....
    &lt;*> IP: aliasing support
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration f&uuml;r IP Aliasing ist sehr einfach. Die Aliases werden
virtuellen Netzwerk Devices zugewiesen, die an das tats&auml;chliche Device
gekoppelt sind. Eine einfache Namenskonvention f&uuml;r diese Devices ist
<CODE>&lt;Devicename>:&lt;virtuelle Dev Nummer></CODE>, also z.B. 
<CODE>eth0:0</CODE>, <CODE>ppp0:10</CODE> usw.</P>
<P>Als Beispiel nehmen wir ein Ethernet Netzwerk mit zwei IP Subnetzwerken
an. Um beide gleichzeitig &uuml;ber eine Netzwerkkarte anzusprechen, dienen
folgende Befehle:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eth0:0 192.168.1.1 netmask 255.255.255.0 up
route add -net 192.168.1.0 netmask 255.255.255.0 eth0:0

ifconfig eth0:1 192.168.10.1 netmask 255.255.255.0 up
route add -net 192.168.10.0 netmask 255.255.255.0 eth0:0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Um einen Alias zu l&ouml;schen, h&auml;ngen sie einfach ein »<CODE>-</CODE>« an das Ende
seines Namens an:
<BLOCKQUOTE><CODE>
<PRE>
ifconfig eth0:0- 0
</PRE>
</CODE></BLOCKQUOTE>

Alle mit diesem Device verbundenen Routes werden automatisch ebenfalls
gel&ouml;scht.</P>

<H2><A NAME="ss6.5">6.5</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.5">IP Firewall (Linux 2.0)        </A>
<!--IP!Firewall-->       <!--Firewall-->       <!--Netzwerk!Treiber!IP Firewall-->       <!--Kernel!Netzwerk!IP Firewall-->       <!--ipfwadm!IP Firewall--></H2>

<P>Alles was mit IP Firewall und Firewalls allgemein zu tun hat, wird
ausf&uuml;hrlich im <EM>
<A HREF="http://www.tldp.org/HOWTO/Firewall-HOWTO.html">Firewall and Proxy Server HOWTO</A></EM> (Englisch) 
erl&auml;utert. Ein IP Firewall erlaubt es, den Rechner oder ein ganzes
Netzwerk gegen unerlaubte Netzzugriffe abzuschotten, indem Datenpakete
von und zu angegebenen IP-Adressen gefiltert werden. Es existieren drei
unterschiedliche Klassen f&uuml;r Regeln: Incoming Filter, Outgoing Filter
und Forward Filter. Incoming Filter werden auf Datenpakete
angewandt, die &uuml;ber eine Netzwerkschnittstelle empfangen werden.
Outgoing Filter gelten f&uuml;r Datenpakete, die &uuml;ber eine
Netzwerkschnittstelle ausgegeben werden. Forward Filter werden auf
Datenpakete angewandt, die zwar angenommen werden, aber nicht f&uuml;r den
eigenen Rechner bestimmt sind, also solche, die gerouted werden.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
    [*] Network firewalls
    ....
    [*] IP: forwarding/gatewaying
    ....
    [*] IP: firewalling
    [ ] IP: firewall packet logging
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration eines IP Firewall wird mit dem Befehl <CODE>ipfwadm</CODE>
durchgef&uuml;hrt. Wie bereits erw&auml;hnt bin ich kein Experte in Sachen
Sicherheit. Obwohl hier ein Beispiel f&uuml;r die Konfiguration angegeben
wird, sollten Sie weitere Nachforschungen auf diesem Gebiet anstellen
und ihre eigenen Regeln zusammensuchen, wenn Sie wirklich auf Sicherheit
bedacht sind.</P>
<P>Am weitesten verbreitet ist die Benutzung von IP Firewalls, um einen
Linux-Rechner als Router und Firewall Gateway f&uuml;r ein lokales Netzwerk
einzusetzen und dieses gegen unerlaubten Zugriff von au&szlig;erhalb zu
sichern.</P>
<P>Die folgende Konfiguration basiert auf einem Beitrag von 
Arnt Gulbrandsen (<CODE>
<A HREF="mailto:agulbra@troll.no">agulbra@troll.no</A></CODE>).</P>
<P>Das Beispiel beschreibt die Konfiguration der Firewall-Regeln des
Linux Firewall/Router Rechners aus folgendem Schaubild:
<BLOCKQUOTE><CODE>
<PRE>
-                                   -
 \                                  | 172.16.37.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |  172.16.174.30 | Linux |      |
NET =================|  f/w  |------|    ..37.19
    |    PPP         | router|      |  --------
   /                 ---------      |--| Mail |
  /                                 |  | /DNS |
 /                                  |  --------
-                                   -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die folgenden Befehle geh&ouml;ren eigentlich in eine <CODE>rc</CODE>-Datei, so da&szlig;
sie automatisch bei jedem Systemstart ausgef&uuml;hrt werden. Um maximale
Sicherheit zu erreichen, sollten sie <EM>nach</EM> der Konfiguration der
Netzwerk Devices, aber <EM>vor</EM> deren Aktivierung ausgef&uuml;hrt werden.
Dadurch wird ein Einbruch w&auml;hrend des Bootens unterbunden.
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh

# L&ouml;schen der Forwarding Regeln
# Default Policy auf "accept"

/sbin/ipfwadm -F -f
/sbin/ipfwadm -F -p accept

# .. ebenso fuer "Incoming"

/sbin/ipfwadm -I -f
/sbin/ipfwadm -I -p accept

# Als erstes das PPP Interface schlie&szlig;en.
# Besser w&auml;re hier "-a deny" anstelle von "-a reject -y",
# aber dann w&auml;re es auch nicht mehr m&ouml;glich, &uuml;ber dieses 
# Interface selber eine Verbindung aufzubauen.
# Das -o veranla&szlig;t, da&szlig; alle geblockten Datagramme 
# protokolliert werden. Das verbraucht viel Plattenplatz,
# andernfalls ist man aber &uuml;ber Angriffsversuche oder 
# Fehlkonfiguration im Unklaren.

/sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 \
              -D 172.16.174.30

# Einige offensichtlich falsche Pakete werden sofort
# abgewiesen: Von multicast/anycast/broadcast Adressen 
# sollte nichts kommen.

/sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24

# Auch vom Loopback Netzwerk sollten keine Pakete auf der
# Leitung erscheinen. 

/sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24

# Eingehende SMTP und DNS Verbindungen werden akzeptiert,
# aber nur an den Mail/Nameserver.

/sbin/ipfwadm -F -a accept -P tcp -S 0/0 \
              -D 172.16.37.19 25 53

# DNS verwendet UDP und TCP, deshalb mu&szlig; das auch 
# freigegeben werden.

/sbin/ipfwadm -F -a accept -P udp -S 0/0 \
              -D 172.16.37.19 53

# "Antworten" von gef&auml;hrlichen Ports wie NFS und Larry 
# McVoys NFS Erweiterung werden abgelehnt.  Wer SQUID 
# verwendet, sollte dessen Ports hier ebenfalls angeben.

/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
              -D 172.16.37.0/24 2049 2050

# Antworten an andere User Ports sind OK

/sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
        -D 172.16.37.0/24 53 1024:65535

# Eingehende Verbindungen mit identd werden geblockt.
# Hier wird "reject" verwendet, damit dem anderen 
# Rechner sofort mitgeteilt wird, das weitere Versuche
# sinnlos sind. Andernfalls w&uuml;rden Verz&ouml;gerungen durch
# timeouts von ident auftreten.

/sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 \
              -D 172.16.37.0/24 113

# Einige Standard-Dienste werden f&uuml;r Verbindungen von 
# den Netzwerken 192.168.64 und 192.168.65 akzeptiert; 
# das sind Freunde, denen wir trauen.

/sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
              -D 172.16.37.0/24 20:23

# Alles von innerhalb des lokalen Netzes wird akzeptiert
# und weitergeleitet. 

/sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0

# Alle anderen eingehenden TCP Verbindungen werden 
# verweigert und protokolliert. Falls FTP nicht 
# funktioniert, h&auml;ngen Sie ein 1:1023 an.

/sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 \
              -D 172.16.37.0/24

# ... ebenfalls f&uuml;r UDP

/sbin/ipfwadm -F -a deny -o -P udp -S 0/0 \
              -D 172.16.37.0/24
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Gute Firewall Konfigurationen sind etwas trickreich. Dieses Beispiel
sollte einen brauchbaren Anfang liefern. Die Hilfeseite zu <CODE>ipfwadm</CODE>
gibt weitere Unterst&uuml;tzung bei der Konfiguration. Wenn Sie vorhaben,
einen Firewall einzurichten, erkundigen Sie sich auch bei
vertrauensw&uuml;rdigen Bekannten und sammeln sie soviel Hinweise und
Ratschl&auml;ge wie m&ouml;glich. Suchen sie auch jemanden, der ein paar
Zuverl&auml;ssigkeits- und Funktionstests von au&szlig;erhalb durchf&uuml;hrt.</P>

<H2><A NAME="ss6.6">6.6</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.6">IP/IP Kapselung (IP Tunneling)        </A>
<!--IP!IP!Kapselung-->       <!--IP!Tunnel-->       <!--Netzwerk!Treiber!IP Tunnel--></H2>

<P>Warum sollte man IP Pakete nochmals in IP Pakete stecken? Das mag
seltsam klingen, wenn man die Anwendungen nicht kennt. Die zwei 
h&auml;ufigsten Anwendungsf&auml;lle sind der Mobilfunk mit Mobile-IP und
das IP-Multicasting. Dabei ist Amateur Radio vermutlich die
am weitesten verbreitete aber am wenigsten bekannte Anwendung.</P>
<P><B>Kernel Optionen</B>:
<BLOCKQUOTE><CODE>
<PRE>
        Networking options  --->
            [*] TCP/IP networking
            [*] IP: forwarding/gatewaying
            ....
            &lt;*> IP: tunneling
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>IP Tunnel Devices werden mit <CODE>tunl0</CODE>, <CODE>tunl1</CODE> usw. bezeichnet.</P>
<P>»Aber warum?«. Ok, ok. Die Regeln beim konventionellen IP Routing 
setzen voraus, da&szlig; ein IP Netzwerk durch eine Netzwerkadresse und 
eine Netzwerkmaske eindeutig beschrieben ist. Daraus folgt eine
Reihe von IP-Adressen, die zweckm&auml;&szlig;igerweise alle durch einen 
einzigen Routing-Eintrag behandelt werden. Das bedeutet, da&szlig; man,
vorausgesetzt man ist zu diesem Netzwerk verbunden, jede einzelne
m&ouml;gliche IP-Adresse nutzen kann. Das ist in den meisten F&auml;llen
auch gegeben. F&uuml;r mobile Netzteilnehmer ist es jedoch nicht
m&ouml;glich, immer den gleichen Netzzugang zu nutzen. Das IP Tunneling
erm&ouml;glicht das Umgehen dieser Beschr&auml;nkung, indem Pakete f&uuml;r den
mobilen Netzteilnehmer nochmals eingepackt und an eine andere
IP weitergeleitet werden, &uuml;ber die der Teilnehmer aktuell 
erreichbar ist. Wenn klar ist, da&szlig; der eigene Laptop regelm&auml;&szlig;ig
auf das lokale Netzwerk zugreifen soll, kann dieses so eingerichtet
werden, da&szlig; es Pakete von der IP-Adresse des Laptops empf&auml;ngt und
Pakete f&uuml;r diesen an die jeweils aktuelle Adresse weiterleitet.</P>

<H3>Eine Konfiguration eines getunnelten Netzes.</H3>

<P>
<BLOCKQUOTE><CODE>
<PRE>
 192.168.1/24                          192.168.2/24
     -                                     -
     |      ppp0 =            ppp0 =       |
     |  aaa.bbb.ccc.ddd  fff.ggg.hhh.iii   |
     |                                     |
     |   /-----\                 /-----\   |
     |   |     |       //        |     |   |
     |---|  A  |------//---------|  B  |---|
     |   |     |     //          |     |   |
     |   \-----/                 \-----/   |
     |                                     |
     -                                     -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Bild illustriert einen weitere Anwendung des IP Tunneling; ein
»Virtual Private Network« (VPN). Dieses Beispiel geht von
zwei Rechnern mit einfachen Dialup-Internetverbindungen aus. Jedem
Rechner ist eine eigene IP-Adresse zugewiesen. Hinter jedem der
Rechner befindet sich ein privates lokales Netz. Diese LANs sind
jeweils mit einer eigenen reservierten Netzadresse konfiguriert.
Es soll nun jedem Host aus Netz A m&ouml;glich sein, jeden Host aus Netz B
zu erreichen und umgekehrt (wie als geh&ouml;rten alle demselben Netz an
und als h&auml;tten sie zus&auml;tzlich noch einen Internetzugang). Das kann
mit IP Tunneling erreicht werden. Hinweis: Die IP/IP Kapselung l&ouml;st
nicht das Problem der Kommunikation eines Hosts des VPN mit anderen
Hosts im Internet. Tricks wie z.B. IP Masquerading werden immer noch 
zus&auml;tzlich n&ouml;tig sein. Die IP/IP Kapselung wird typischerweise von den
Rechnern realisiert, die auch als Router fungieren.</P>
<P>Der Linux Router im Netz <CODE>A</CODE> kann mit folgendem Skript 
konfiguriert werden:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# Ethernet Konfiguration
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.1 up
route add -net 192.168.2.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Router im Netz B <CODE>B</CODE> kann entsprechend mit diesem Skript 
konfiguriert werden:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=aaa.bbb.ccc.ddd
#
# Ethernet Konfiguration
ifconfig eth0 192.168.2.1 netmask $mask up
route add -net 192.168.2.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.2.1 up
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Kommando:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
route add -net 192.168.1.0 netmask $mask gw $remotegw tunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>ist so zu lesen: »Versende alle Pakete mit Ziel 
<CODE>192.168.1.0/24</CODE> verpackt in ein IP Tunneling Paket mit 
der Zieladresse <CODE>aaa.bbb.ccc.ddd</CODE></P>
<P>Hinweis: die Tunneling Konfiguration mu&szlig; nat&uuml;rlich auf beiden
Seiten vorgenommen werden. Das Tunneling Device nutzt die Route 
»<CODE>gw</CODE>« im Routingeintrag als <EM>Ziel</EM> des IP Paketes;
dahin wird es also das zu routende Paket weiterschicken.
Der Host mu&szlig; auch wissen, wie er gekapselte IP/IP Pakete entpackt.
Mit anderen Worten, es mu&szlig; ein Tunneling Device konfiguriert werden.</P>

<H3>Eine getunnelte Hostkonfiguration.</H3>

<P>Nicht immer ist es n&ouml;tig, ganze Netzwerke zu routen. M&ouml;glicherweise
mu&szlig; man nur eine einzige IP Adresse routen. In diesem Fall m&uuml;&szlig;te das
Device <CODE>tunl</CODE> des Remote Hosts mit seiner IP im LAN konfiguriert
werden. Der Router A ben&ouml;tigt nur eine Hostroute (und Proxy Arp) anstatt
einer Netzwerkroute samt Tunneling Device. Ver&auml;ndern wir also die
Konfiguration entsprechend. Jetzt gibt es nur noch den Host »<CODE>B</CODE>«
welcher sich so verhalten soll, als w&auml;re er Teil des LANs von
»<CODE>A</CODE>« und als h&auml;tte er eine normale Verbindung in Internet.</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
 192.168.1/24
     -
     |      ppp0 =                ppp0 =
     |  aaa.bbb.ccc.ddd      fff.ggg.hhh.iii
     |
     |   /-----\                 /-----\
     |   |     |       //        |     |
     |---|  A  |------//---------|  B  |
     |   |     |     //          |     |
     |   \-----/                 \-----/
     |                         192.168.1.12
     -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Router »<CODE>A</CODE>« wird folgenderma&szlig;en konfiguriert:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=fff.ggg.hhh.iii
#
# Ethernet Konfiguration
ifconfig eth0 192.168.1.1 netmask $mask up
route add -net 192.168.1.0 netmask $mask eth0
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.1 up
route add -host 192.168.1.12 gw $remotegw tunl0
#
# Proxy ARP f&uuml;r den Remote Host
arp -s 192.168.1.12 xx:xx:xx:xx:xx:xx pub
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Der Linux Host »<CODE>B</CODE>« wird so konfiguriert:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
#!/bin/sh
PATH=/sbin:/usr/sbin
mask=255.255.255.0
remotegw=aaa.bbb.ccc.ddd
#
# ppp0 Konfiguration (PPP-Verbindung aufbauen, 
# Default Route setzen)
pppd
route add default ppp0
#
# Konfiguration des Tunnel Devices
ifconfig tunl0 192.168.1.12 up
route add -net 192.168.1.0 netmask $mask gw $remotegwtunl0
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Diese Konfiguration ist typisch f&uuml;r eine Mobile IP Anwendung: ein
einzelner Rechner soll sich frei im Internet bewegen k&ouml;nnen und 
trotzdem eine einzige &uuml;berall nutzbare IP Adresse behalten. F&uuml;r
weitere Informationen &uuml;ber die Handhabung in der Praxis sollten 
Sie den Abschnitt <EM>
<A HREF="#DE-NET3-HOWTO-mobile-ip">Mobile IP</A></EM> lesen.</P>

<H2><A NAME="ss6.7">6.7</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.7">IP Masquerading        </A>
<!--IP!Masquerading-->       <!--Masquerading-->       <!--Netzwerk!Treiber!IP Masquerading-->       <!--Kernel!Netzwerk!IP Masquerading-->       <!--ipfwadm!IP Masquerading--></H2>

<P>Viele Personen setzen eine einfache Einwahlverbindung als Zugang zum
Internet ein. Hierbei wird dem einw&auml;hlenden Rechner praktisch immer
genau eine einzige IP Adresse zugewiesen. Das ist normalerweise
ausreichend, um einem einzelnen Rechner vollen Zugang zu den
M&ouml;glichkeiten des Internet zu geben. Allerdings kann der Rechner
<EM>nicht</EM> direkt als Router ins Internet f&uuml;r andere Rechner verwendet
werden, da diese dann auch eine weltweit eindeutige IP Adresse ben&ouml;tigen
w&uuml;rden. Nun k&ouml;nnte man ja prinzipiell den eigenen Provider bitten,
mehr offizielle IP Adresse zur Verf&uuml;gung zu stellen. Dem stehen jedoch
zwei Gr&uuml;nden entgegen. Zum einen sind IP Adressen im Internet 
ein knappes Gut, zum anderen bieten die meisten Provider solche Leistung
nur in Verbindung mit sehr teuren Vertr&auml;gen f&uuml;r Firmen an.</P>
<P>IP Masquerading erlaubt es nun, dieses Problem zum umgehen, in dem
die anderen Rechner ebenfalls diese eine IP Adresse verwenden und 
zum Provider deshalb als ein einziger Rechner erscheinen - deshalb der Name
»Maskerade«. Ein kleiner Nachteil dabei ist allerdings, da&szlig; dieses
Masquerading immer nur in eine Richtung funktioniert. D.h. der maskierte
Rechner kann zwar Verbindungen nach au&szlig;en aufbauen, er kann aber keine
Anfragen/Verbindungen von au&szlig;enliegenden Rechnern empfangen. Deshalb
funktionieren einige Dienste wie <CODE>talk</CODE> nicht, andere wie
z.B. FTP m&uuml;ssen speziell auf passiven Modus (PASV) konfiguriert
werden, damit sie funktionieren. Zum Gl&uuml;ck sind aber Standard-Dienste
wie <CODE>telnet</CODE>, IRC und WWW davon nicht betroffen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Code maturity level options  --->
    [*] Prompt for development and/or incomplete code/drivers
Networking options  --->
    [*] Network firewalls
    ....
    [*] TCP/IP networking
    [*] IP: forwarding/gatewaying
    ....
    [*] IP: masquerading (EXPERIMENTAL)
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Auf dem Linux Rechner wird SLIP oder PPP ganz normal konfiguriert, wie
f&uuml;r einen Einzelrechner. Au&szlig;erdem besitzt der Rechner aber eine weitere
Netzwerkschnittstelle, z.B. eine Ethernetkarte, &uuml;ber die er mit dem
lokalen Netzwerk verbunden ist. An diesem Netz h&auml;ngen auch die Rechner,
die maskiert werden sollen. Jeder dieser anderen Rechner mu&szlig; nun
zun&auml;chst zu konfiguriert werden, da&szlig; er die IP Adresse des Linux Rechners 
als Gateway bzw. Router verwendet.</P>
<P>Eine typische Konfiguration sieht etwa so aus:
<BLOCKQUOTE><CODE>
<PRE>
-                                   -
 \                                  | 192.168.1.0
  \                                 |   /255.255.255.0
   \                 ---------      |
    |                | Linux | .1.1 |
NET =================| masq  |------|
    |    PPP/slip    | router|      |  --------
   /                 ---------      |--| host |
  /                                 |  |      |
 /                                  |  --------
-                                   -
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die wichtigsten Konfigurationsbefehle in diesem Fall sind:
<BLOCKQUOTE><CODE>
<PRE>
# Netzwerk Route f&uuml;r Ethernet
route add 192.168.1.0 netmask 255.255.255.0 eth0

# Default Route f&uuml;r den Rest des Internet
route add default ppp0

# Alle Hosts auf dem Netzwerk 192.168.1/24 werden maskiert
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Weitere Informationen &uuml;ber IP Masquerading unter Linux enth&auml;lt die
IP Masquerade Resource Webseite: 
<BLOCKQUOTE><CODE>
<A HREF="http://ipmasq.webhop.net">http://ipmasq.webhop.net</A></CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.8">6.8</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.8">IP Transparent Proxy        </A>
<!--IP!Transparent Proxy-->       <!--Transparent Proxy-->       <!--Netzwerk!Treiber!IP Transparent Proxy-->       <!--Kernel!Netzwerk!IP Transparent Proxy-->       <!--ipfwadm!IP Transparent Proxy--></H2>

<P>IP Transparent Proxy erm&ouml;glicht es, Anfragen f&uuml;r Server oder Dienste auf
anderen Rechnern auf die lokale Maschine umzulenken. Dies ist
z.B. sinnvoll, wenn ein Linux Rechner als Router und Proxy Server
eingesetzt wird. In diesem Fall werden alle Anfragen nach nicht lokalen
Diensten an den lokalen Proxy weitergeleitet.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Code maturity level options  --->
        [*] Prompt for development and/or incomplete code/drivers
Networking options  --->
        [*] Network firewalls
        ....
        [*] TCP/IP networking
        ....
        [*] IP: firewalling
        ....
        [*] IP: transparent proxy support (EXPERIMENTAL)
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Die Konfiguration von IP Transparent Proxy wird mit Hilfe des Befehles
<CODE>ipfwadm</CODE> durchgef&uuml;hrt, zum Beispiel so:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -I -a accept -D 0/0 80 -r 8080
</PRE>
</CODE></BLOCKQUOTE>

Dadurch wird jede Verbindungsversuch mit dem Port 80 (WWW) eines
beliebigen Rechners auf den Port 8080 des lokalen Rechners umgeleitet.
Dadurch kann man z.B. sicherstellen, da&szlig; jeglicher WWW Verkehr auf dem
Netzwerk automatisch &uuml;ber ein lokales Cache Programm geleitet wird.</P>

<H2><A NAME="ss6.9">6.9</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.9">IPv6        </A>
<!--IP!Version 6-->       <!--Netzwerk!Treiber!IPv6-->       <!--Kernel!Netzwerk!IPv6--></H2>

<P>Da hat man nun gerade geglaubt, IP Netzwerke ansatzweise zu verstehen,
und nun werden die Regeln ge&auml;ndert. IPv6 ist eine abgek&uuml;rzte Form f&uuml;r
die Version 6 des Internet Protokolls. IPv6 wurde vorrangig entwickelt,
um den Bef&uuml;rchtungen der Internet Gemeinde entgegenzuwirken, da&szlig; es bald
einen Engpa&szlig; bei den IP Adressen g&auml;be. IPv6 Adressen sind 16&nbsp;Byte,
also 128&nbsp;Bit, lang. Au&szlig;erdem enth&auml;lt IPv6 einige weitere &Auml;nderungen,
vorrangig Vereinfachungen, die ein IPv6 Netzwerk einfacher verwaltbar
machen als ein IPv4 Netzwerk.</P>
<P>Die Kernel der Version 2.1.x enthalten bereits eine
funktionierende, wenn auch noch unvollst&auml;ndige Implementation von IPv6.</P>
<P>Wenn Sie mit dieser neuen Generation der Internet Technologie
experimentieren wollen, sollten Sie die 
<EM>
<A HREF="http://www.tldp.org/HOWTO/Linux+IPv6-HOWTO/index.html">IPv6 HOWTO</A></EM> lesen.</P>


<H2><A NAME="ss6.10">6.10</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.10">IPv6 Linux Ressourcen        </A>
<!--IP!Version 6-->       <!--Netzwerk!Treiber!IPv6-->       <!--Kernel!Netzwerk!IPv6--></H2>

<P>
<DL>
<DT><B>IPv6 HOWTO</B><DD>
<P><CODE>
<A HREF="http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/IPv6-HOWTO.html">http://www.bieringer.de/linux/IPv6/IPv6-HOWTO/IPv6-HOWTO.html</A></CODE></P>

<DT><B>IPv6 for Linux</B><DD>
<P><CODE>
<A HREF="http://www.xelia.ch/Linux/IPng.html">http://www.xelia.ch/Linux/IPng.html</A></CODE></P>

<DT><B>Linux IPv6 RPM Project</B><DD>
<P><CODE>
<A HREF="http://v6rpm.jindai.net/v6rpm.html">http://v6rpm.jindai.net/v6rpm.html</A></CODE></P>

<DT><B>IPv6 FAQ/HOWTO</B><DD>
<P><CODE>
<A HREF="http://www.linuxhq.com/IPv6/linux-ipv6.faq.html">http://www.linuxhq.com/IPv6/linux-ipv6.faq.html</A></CODE></P>
</DL>
</P>

<H2><A NAME="DE-NET3-HOWTO-mobile-ip"></A> <A NAME="ss6.11">6.11</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.11">Mobile IP        </A>
<!--Mobile IP-->       <!--IP!Mobile-->       <!--Netzwerk!Treiber!Mobile IP-->       <!--Kernel!Netzwerk!Mobile IP-->       </H2>

<P>Der Ausdruck »IP Mobility« beschreibt die F&auml;higkeit eines Rechners,
seine Verbindung zum Internet an unterschiedliche Punkte zu verlagern,
ohne dabei seine IP Adresse zu &auml;ndern oder die Verbindung zu verlieren.
Normalerweise &auml;ndert sich die IP Adresse eines Rechners, wenn er an
einer anderen Stelle z.B. &uuml;ber ein anderen Netzwerk an das Internet
angekoppelt wird. Mobile IP umgeht dieses Problem, indem dem Rechner
eine feste IP Adresse zugeordnet wird und jeglicher Datenverkehr zu
diesem Rechner durch IP Encapsulation (Tunneling) an die momentan
tats&auml;chlich genutzte IP Adresse umgeleitet wird.</P>
<P>In einem derzeit in Entwicklung befindlichen Projekt sollen alle notwendigen
Programme f&uuml;r IP Mobility unter Linux zusammengetragen werden. Den
gegenw&auml;rtigen Stand der Dinge erfahren Sie auf der 
<EM>Linux Mobile IP Home Page</EM>:
<BLOCKQUOTE><CODE>
<A HREF="http://mosquitonet.stanford.edu/mip/">http://mosquitonet.stanford.edu/mip/</A></CODE></BLOCKQUOTE>
</P>

<H2><A NAME="ss6.12">6.12</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.12">Multicast        </A>
<!--Multicast-->       <!--Netzwerk!Treiber!Multicast-->       <!--Kernel!Netzwerk!Multicast--></H2>

<P>Mit IP Mulicast ist es m&ouml;glich, Datenpakete gleichzeitig an beliebig
viele Rechner in verschiedenen Segmenten von IP Netzwerken zu routen. Dieser
Mechanismus wird ausgenutzt, um eine Internet-weite Verteilung von
z.B. Audio- oder Videodaten zu erm&ouml;glichen.</P>
<P><B>Optionen beim Kernel kompilieren:</B>
<BLOCKQUOTE><CODE>
<PRE>
Networking options  --->
        [*] TCP/IP networking
        ....
        [*] IP: multicasting
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Ein paar spezielle Programme sowie einige kleinere
Konfigurations&auml;nderungen des Netzwerkes sind n&ouml;tig, um diese
M&ouml;glichkeiten auszunutzen. Weitere Informationen zu Installation und
Konfiguration findet man in der
<EM>
<A HREF="http://www.tldp.org/HOWTO/Multicast-HOWTO.html">Multicast over TCP/IP HOWTO</A></EM>.</P>

<H2><A NAME="ss6.13">6.13</A> <A HREF="DE-Netzwerk-HOWTO.html#toc6.13">Traffic Shaper - Ver&auml;ndern erlaubter Bandbreiten</A>
</H2>

<P>Der Traffic Shaper ist ein Treiber, der neue Netzwerk Devices
bereitstellt. Diese k&ouml;nnen in der Bandbreite beschr&auml;nkt werden.
Die Devices selbst benutzen die physikalische Netzwerk Devices
zur &uuml;bertragung und k&ouml;nnen zum Routen des ausgehenden Verkehrs
genutzt werden.</P>
<P>Der Traffic Shaper wurde mit Linux 2.1.15 eingef&uuml;hrt und wurde
auf Linux 2.0.36 zur&uuml;ckportiert (er erschien mit <CODE>2.0.36-pre-patch-2</CODE> 
von Alan Cox, dem Autor des Shaper Device und Maintainer von Linux 2.0).</P>
<P>Der Traffic Shaper kann nur als Modul konfiguriert werden. Dieses wird
mit <CODE>shapecfg</CODE> konfiguriert. Syntaxbeispiele:</P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
shapecfg attach shaper0 eth1
shapecfg speed shaper0 64000
</PRE>
</CODE></BLOCKQUOTE>
</P>
<P>Das Shaper Device kann nur die Bandbreite des ausgehenden Verkehrs
kontrollieren (da die Pakete nur aufgrund der Routingtabelle durch
die Devices des Shapes &uuml;bertragen werden). Eine »Routing nach Quelladressen«
Funktionalit&auml;t k&ouml;nnte beim Beschr&auml;nken der f&uuml;r einen speziellen Host
verf&uuml;gbaren Bandbreite durch einen Linux Router realisiert werden.</P>
<P>Linux 2.2 bringt bereits die Unterst&uuml;tzung f&uuml;r diese Art von Routing mit.
Wenn Sie Linux 2.0 verwenden, probieren Sie den Patch von Mike McLagan.
Lesen Sie die Datei <CODE>Documentation/networking/shaper.txt</CODE>
der Linux Kernelquellen f&uuml;r weitere Informationen.</P>
<P>M&ouml;chten Sie nur mal versuchsweise Traffic Shaping einrichten, dann
probieren Sie <CODE>rshaper-1.01</CODE> (oder neuer) von: 
<BLOCKQUOTE><CODE>
<A HREF="ftp://arcana.linux.it/pub/rshaper">arcana.linux.it:/pub/rshaper</A></CODE></BLOCKQUOTE>
</P>

<HR>
<A HREF="DE-Netzwerk-HOWTO-7.html"><IMG SRC="next.png" ALT="Weiter"></A>
<A HREF="DE-Netzwerk-HOWTO-5.html"><IMG SRC="prev.png" ALT="Zurück"></A>
<A HREF="DE-Netzwerk-HOWTO.html#toc6"><IMG SRC="toc.png" ALT="Inhalt"></A>
</BODY>
</HTML>