Weiter Zurück Inhalt

5. Testen von IP-Masquerading

Nach all dieser harten Arbeit ist es endlich an der Zeit für einen offiziellen Versuch. Wenn nicht bereits geschehen, rebooten Sie jetzt Ihren Linux-Rechner, um sicherzustellen, daß die Maschine normal bootet und der /etc/rc.d/rc.firewall - Regelsatz gestartet wird. Als nächstes überprüfen Sie nochmal Schrittweise die Verbindung im internen LAN und zum Internet.

Dafür gibt es folgende Möglichkeiten:

  1. Auf einem internen, maskierten Computer den Ping an seine eigene Adresse senden(z. B. ping 192.168.0.10 ). Damit läßt sich feststellen, ob TCP/IP auf der lokalen Maschine korrekt läuft. Sollte dies nicht der Fall sein, ist die TCP/IP-Konfiguration fehlerhaft, und bedarf der Korrektur.

  2. Auf dem Masq-Server seine eigene Adresse im internen Netzwerk testen(z.B. ping 192.168.0.1). Dieselbe Prozedur gilt für die externe Internet-IP-Adresse. Dieses ist die Adresse, die Sie von Ihrem IS-Provider zugeteilt bekommen. Bei dynamischer Zuteilung werden Sie Ihre Adresse vorher nicht kennen, da hilft ein Blick in die Ausgabe von /sbin/ifconfig(bei aktiver Internetverbindung) Dieser Test läßt feststellen ob die Verbindungen des Masq-Servers voll funktionsfähig sind.

  3. Von einem maskierten Computer aus die interne Verbindung zur Ethernetkarte Ihres Linux-Masq-Servers testen(z.B. ping 192.168.0.1). Dieses liefert den Nachweis, daß das Netzwerk und Routing funktionsfähig sind. Sollte der Test versagen, überprüfen Sie auf Server und Client die Ethernetkarten und das Verhalten derer Leuchtdioden.

  4. Nochmal von einem maskierten Computer aus senden Sie einen Ping an die externe IP-Adresse Ihres Linux-Masq-Servers. Diese Adresse werden Sie normalerweise von Ihrem IS-Provider zugeteilt bekommen und der Vorgang wurde bereits unter Punkt zwei beschrieben. Anhand der Ergebnisse läßt sich feststellen, ob Masquerading aktiviert ist und läuft(ICMP-Masquerading speziell). Funktioniert der Test nicht, müssen Sie sicherstellen, daß »ICMP Masquerading« in den Kern eingebunden ist, und IP-Forwarding im Script /etc/rc.d/rc.firewall aktiviert wurde. Natürlich muß während des Systemstartes auch eine korrekte Ausführung dieses Scriptes stattfinden. Alternativ oder zur Überprüfung kann es auch jederzeit manuell gestartet werden.

    Funktioniert Masquerading immer noch nicht, werfen Sie einen Blick in die Ausgaben von:

    ifconfig : Voraussetzung ist eine aktive Internetverbindung und Verwendung der richtigen IP-Adresse

    netstat -rn : Der Default-Gateway Eintrag muß auf die interne Netzwerkadresse Ihres Linux-Masq-Servers verweisen(nur für maskierte Computer)

    cat /proc/sys/net/ipv4/ip_forward : Die richtige Ausgabe ist "1" und bedeutet, daß Linux-Forwarding aktiv ist

    /sbin/ipfwadm -F -l : für 2.0.x- oder

    /sbin/ipchains -L : für 2.2.x-Benutzer: Stellen Sie sicher, daß Masquerading aktiviert ist

  5. Versuchen Sie von einem internen, maskierten Computer aus, ein Signal an irgendeine statische TCP/IP-Adresse im Internet zu senden(z.B. ping 152.19.254.81(das ist die Adresse von http://www.metalab.unc.edu - Zuhause des LDP)). Kommt das Signal zurück, bedeutet es, daß ICMP-Masquerading über das Internet funktioniert. Ist es nicht der Fall, überprüfen Sie bitte die Verbindung zum Internet. Geht es immer noch nicht, muß u.a. sichergestellt werden, daß ICMP-Masquerading in den Kern eingebunden ist, und der Regelsatz in rc.firewall korrekt ausgeführt wird.

  6. Nun können Sie eine Telnet-Verbindung zu einer entfernten Adresse im Internet starten(z.B. telnet 152.2.254.81). Bekamen Sie nach einer Weile einen Login-Prompt? Wenn ja, bedeutet es, Masquerading funktioniert. Wenn nicht, versuchen Sie es mit anderen Hosts die Telnet unterstützen z.B. www.linux.org (telnet 198.182.196.55). Erscheint trotzdem keine Einladung zum Einlogen, überprüfen Sie, ob das rc.firewall-Script aktiv ist.

  7. Jetzt versuchen Sie, eine Telnet-Verbindung unter Verwendung des hostnames aufzubauen(z.B. telnet metalab.unc.edu(152.2.254.81)). Wenn das Login-Prompt erscheint, bedeutet es, daß der maskierte Computer die richtigen DNS-Adressen verwendet und den Namen auflösen kann.

  8. Als einen letzten Test können Sie auf einem Ihrer »maskierten« Computer einige WWW-Seiten aufrufen. Betreten Sie zum Beispiel das Linux Documentation Project. Wird die Seite aufgebaut, können Sie sicher sein, daß Masquerading ordentlich eingerichtet ist.

Wenn Sie die Linux Documentation Project-Homepage aufrufen können, dann darf ich Ihnen gratulieren! Es Funktioniert! Hat sich die Seite korrekt aufgebaut, dann sollten auch andere standarte Netzwerkdienste wie PING, TELNET, SSH, und, mit geladenen zugehörigen Modulen, FTP, Real Audio, IRC DCC, Quake I/II/III, CuSeeme, VDOLive u.s.w. einwandfrei funktionieren! Fällt bei FTP, IRC, RealAudio, Quake I/II/III, u.s.w. die Performance eher ärmlich aus oder funktioniert erst gar nicht, kann es daran liegen, daß die zugehörigen Masquerading-Module nicht geladen sind. Die Ausgabe von »lsmod« listet alle derzeit geladenen Masquerading-Module. Wird das benötigte Modul nicht ausgegeben, ist der zuständige Eintrag in /etc/rc.d/rc.firewall fehlerhaft oder muß noch abkommentiert # werden.


Weiter Zurück Inhalt