Se hai suggerimenti per utili FAQs, scrivi a ambrose@writeme.com e dranch@trinnet.net. Scrivi chiaramente la domenda e la risposta (se ne hai una). Grazie!
Se la tua distribuzione Linux non ha il supporto IP MASQ pronto, non ti preoccupare. Tutto quello che devi fare è ricompilare il kernel come descritto sopra.
NOTA: Se sei in grado di contribuire a questa tabella, scrivi a mailto:ambrose@writeme.com oppure mailto:dranch@trinnet.net.
Un 486/66 con 16MB di RAM era più che sufficiente a riempire al 100% una linea T1 a 1.54Mb/s! MASQ va anche molto bene su un 386SX-16s con 8MB si RAM. Però il Mascheramento IP comincia a danneggiare i pacchetti se ci sono più di 500 MASQ entries.
L'unica applicazione che io conosca che può bloccare temporaneamente il Mascheramento Ip di Linux è GameSpy. Perchè? Quando riaggiorna le sue liste, genera decine di migliaia di connessioni veloci in tempo molto BREVE. Le tabelle di Mascheramento diventano 'COMPLETE' finchè non terminano questi processi. Vedi anche il paragrafo {refnam} delle FAQs.
Dato che ci siamo:
C'è un limite fisico di 4096 connessioni concorrenti rispettivamente per TCP e per UDP. Tale limite può essere modificato andando a toccare i valori in /usr/src/linux/net/ipv4/ip_masq.h - un limite superiore fino a 32000 dovrebbe essere accettabile. Per cambiare il limite devi cambiare i valori di PORT_MASQ_BEGIN e PORT_MASQ_END per dimensionarli in modo appropriato al di sopra di di 32K e al di sotto di 64K.
Ci sono due modi per iscriversi alle due mailing lists su IP Masquerading. La prima è mandare una email a mailto:masq-request@indyramp.com. Per iscriverti a Linux IP Masquerading Developers manda una email a mailto:masq-dev-request@indyramp.com. Segui il punto qui sotto, per ulteriori dettagli:
Quando il server riceve la tua richiesta, ti iscrive alla lista e ti dà una PASSWORD. Conservala, perchè ti servirà per de-iscriverti o per cambiare le opzioni, quando lo vorrai
Il secondo metodo è usare un browser WWW e iscriverti riempendo un modulo in http://www.indyramp.com/masq-list/ per la lista MASQ principale o http://www.indyramp.com/masq-dev-list/ per la lista MASQ-DEV.
Appena iscritto, riceverai i messaggi dalla lista. Nota che l'accesso agli archivi è permesso anche ai non iscritti . Vedi alle URLs date sopra.
Nota che ti è permesso inviare messaggi alla lista solo dall'indirizzo da cui ti sei iscritto.
In caso di problemi relativi alle mailing list o agli archivi, contatta Robert Novak.
Proxy:
I servers Proxy sono disponibili per: Win95, NT, Linux, Solaris, etc.
Pro: + (1) indirizzo IP; economico
+ Caching opzionale per un miglior rendimento (WWW, etc.)
Contro: - Tutte le applicazioni dietro al server proxy devono supportare
i servizi proxy (SOCKS) e essere CONFIGURATE per usare il server Proxy
- Alterano i contatori e le statistiche WWW
Un server proxy usa solo (1) indirizzi IP pubblici, come IP MASQ, e funziona
come un traduttore per i clients nella rete privata LAN (WWW browser, etc.).
Il server proxy riceve le richieste tipo TELNET, FTP, WWW,
etc, provenienti dalla rete privata. A sua volta avvia tali richieste come se
provenissero da un utente locale
Quando il server remoto in Internet risponde con le informazioni desiderate
il proxy riconverte gli indirizzi TCP/IP in quelli interni dei clients Mascherati
e dirige il traffico alle macchine interne corrispondenti.
Questa è la ragione per cui è chiamato server PROXY (server PER PROCURA)
Nota: OGNI applicazione che si vuole utilizzare su una rete interna *DEVE* avere
un supporto per il server proxy come ad es. Netscape e alcuni buoni clients TELNET e FTP
Nessun client che non abbia il supporto per il server proxy può funzionare
Un'altra bella caratteristica dei servers proxy è che alcuni di loro sono
anche in grado di fare caching (Squid per WWW). Prendi il caso di 50 macchine
servite da un proxy, che caricano Netscape tutte insieme. Se avessero installato
la home page di Netscape per default, ci sarebbero 50 copie della stessa pagina
WWW che passa attraverso la connessione internet, una per computer richiedente
Con un server in grado di fare caching, verrà invece scaricata dal proxy una sola
copia della pagina e tutte le macchine ricevono una copia di questa, conservata
nella cache
Questo metodo salva banda nelle connessioni internet e rende il servizio MOLTO più veloce
MASQ: Il Mascheramento IP è disponibile su Linux e su alcuni routers ISDN come
o Zytel Prestige128, Cisco 770, NetGear ISDN routers, etc.
1:Many
NAT
Pro: + Solo (1) indirizzo IP necessario (economico)
+ Non richiede alcun supporto particolare per la applicazione
+ Utilizza il software di firewall in modo che la rete locale sia più sicura
Contro: - Richiede una workstation Linux o uno speciale router ISDN
(ma anche altri prodotti possono supportarlo..)
- Il traffico in entrata non può accedere alla rete locale
a meno che non il traffico non sia stato avviato all'interno
della LAN o sia installato uno specifico software per
l'indirzzamento di porta
Molti servers NAT NON possono fornire questa funzionalità
- Ci sono protocolli speciali che devono essere maneggiati
unicamente da redirettori di firewall, etc. Linux ha un
supporto completo per questi servizi (FTP, IRC, etc
ma molti routers NON lo hanno (NetGear LO HA).
IP-Masq o NAT 1:Many
è simile al proxy server, nel senso che il server fa la
traduzione di indirizzo IP e imbroglia così il server remoto (ad es. WWW)
come se fosse il MASQ server fare la richiests, anzichè una macchina interna
La pricipale differenza tra un sewrver MASQ e uno PROXY è che il server MASQ
non necessita di alcuna modifica di configurazione nei clients. Basta configurarli
per usare la workstation Linux come gateway di dafault.
E' necessario installare moduli speciali per far funzionare cose come RealAudio, FTP, etc!
Molti usano IP MASQ per TELNET, FTP, etc. *E* installano anche un caching
proxy sulla stessa workstation Linux per il traffico WWW, per una maggiore efficienza
NAT: i servers NAT sono disponibili per Windows 95/NT, Linux, Solaris, e alcuni dei
migliori routers ISDN (non Ascend)
Pro: + Altamente configurabile
+ Non è richiesta nessuna particolare applicazione software
Contro: - Richiede una sottorete dal tuo ISP (dispendioso)
La definizione Network Address Translation (NAT) rappresenta una macchina che
possiede un insieme di indirizzi IP validi sulla interfaccia internet, che puo' usare
a sua scelta.
Quando dalla rete interna proviene ua richiesta di uscita in internet,
il NAT associa un indirizzo IP ufficiale all'indirizzo IP privato del richiedente.
Dopo di che tutto il traffico viene riscritto dall'indirizzo pubblico del NAT a quello
privato. Se l'indirizzo IP pubblico del NAT resta inutilizzato per una quantità di tempo
s determinata, esso restituito all'insieme degli indirizzi in disponibilità
Il principale problema con NAT è che, quando tutti gli indirizzi IP pubblici sono in uso
tutte le ulteriori richieste di accesso ad internet non possono essere soddisfatte
ed è necessario attendere che se ne liberi uno.
Si! Ce ne sono con diverse interfacce e di diversa complessità, ma sono tutte abbastanza buone, anche se la maggior parte è, al momento, per la funzione IPFWADM. Questo è un breve elenco delle applicazioni disponibili, in ordine alfabetico. Se ne conosci altre o hai dei commenti da fare sulla qualità, manda un messaggio ad Ambrose o David.
Si, funziona con indirizzi IP dinamici assegnati dal tup ISP sia attraverso una connnessione PPP sia attraverso un server DHCP/BOOTp. Se ti biene in qualche modo assegnato un indirizzo IP ufficiale, IP-Masq dovrebbe funzionare. Ovviamente funziona anche cin IP statici.
Se però pensi di iplementare un insieme di regole IPFWADM/IPCHAINS forti e/o prevedi di usare un indirizzatore di porta, le regole dovrenno essere ri-eseguite ogni volta che il tuo indirizzo IP cambia. Vedi TrinityOS - Pargrafo 10 per ulteriore documentazione sulle regole forti per firewall e per indirizzi IP dinamici
Si, dato che Linux supporta quel tipo di interfaccia di rete, dovrebbe funzionare. Si ti viene assegnato un indirizzo IP dinamico, vedi la URL alla FAQ precedente "Il Mascheramento IP funziona con indirizzi IP assegnati dinamicamente?"
Certamente! Il mascheramento IP è totalmente trasparente a Diald e PPP. L'unica cosa che può presentare dei problemi e il caso in cui usi regole STRETTE per firewall con indirizzi IP dinamici. Vedi fa FAQ "Il Mascheramento IP funziona con indirizzi IP assegnati dinamicamente?" per altre informazioni.
E' molto difficile mantenere una lista aggiornata delle applicazioni "funzionanti". Comunque, la maggior parte delle ordinarie applicazioni per internet sono supportate, come le applicazioni di WWW browsing (Netscape, MSIE, etc.), FTP (come WS_FTP), TELNET, SSH, RealAudio, POP3 (ricezione della posta - Pine, Eudora, Outlook), SMTP (spedizione della posta), etc. Un elenco un po' più completo di clients Masq-compatibili si trova al paragrafo {refnam} di questo HOWTO.
Le applicazioni che richiedono protocolli più complessi o particolari metodi di connessione, come il software per video conferenze, necessitano di specialli strumenti di sostegno.
Per ulteriori dettagli vedi la pagina delle Applicazioni per il Mascheramento IP in Linux.
Le procedure qui descritte per la sistemazione del Mascheramento IP non dipendono dalla scelta della distribuzione Linux. Alcune distribuzioni possono avere una GUI o particolari files di configurazione che facilitano la sistemazione del servizio. Abbiamo cercato di scrivere questo manuale nel modo più generale possibile
Per default, IP-Masq stabilisce i suoi timers per il traffico della sessione TCP, TCP FIN, e UDP a 15 minuti. Per la maggior parte degli utenti si consiglia di usare i valori che vengono indicati qui di seguito (che sono già stati dati nelle regole /etc/rc.d/rc.firewall):
Linux 2.0.x con, IPFWADM:
# timeouts di MASQ # # timeout di 2 ore per le sessioni TCP # timeout di 10 sec per il traffico che segue il ricevimento del pacchetto TCP/IP "FIN" # timeout di 60 sec per il traffico UDP (Gli utenti ICQ Mascherati devono # abilitare un timeout del firewall di 30 sec nel programma ICQ) # /sbin/ipfwadm -M -s 7200 10 60
Linux 2.2.x con IPCHAINS:
# timeouts di MASQ # # timeout di 2 ore per le sessioni TCP # timeout di 10 sec per il traffico che segue il ricevimento del pacchetto TCP/IP "FIN" # timeout di 60 sec per il traffico UDP (Gli utenti ICQ Mascherati devono abilitare # un timeout del firewall di 30 sec nel programma ICQ) /ipchains -M -S 7200 10 60
La ragione è data dal fatto che hai una connessione con IP dinamico e al primo collegamento il Mascheramento IP non conosce il suo indirizzo IP. La soluzione a questo problema consiste nell'aggiungere le seguenti righe nellle regole in /etc/rc.d/rc.firewall:
# Utenti con IP dinamico: # Se il tuo indirizzo IP ti viene assegnato dinamicamente in una connessione SLIP, PPP, o DHCP, # esegui la seguente operazione, che permette di modificare l'indirizzo IP nel Mascheramento, # facilitando l'uso di programmi come diald # echo "1" > /proc/sys/net/ipv4/ip_dynaddr <label id="Problemi con MTU" >
Ci sono due possibili spiegazioni. La prima è molto FREQUENTE, mentre la seconda è molto RARA
Per ulteriori informazioni vedi le discussioni su MTU nella mailing list Linux-Kernel, in http://www.tux.org/hypermail/linux-kernel/1999week10/0124.html
Comunque non c'è da preoccuparsi. Un perfetto superamento del problema è portare la MTU della connessione internet a 1500. A questo punto alcuni utenti esiteranno, perchè si potrebbe danneggiare qualche programma che richiede una latenza precisa, come TELNET e i giochi, ma l'impatto è molto lieve. D'altro canto, la maggior parte del traffico HTTP e FTP risulterà molto più VELOCE!
Per l'aggiustamento, controlla prima di tuto qual è la MTU della connessione internet adesso: lancia il comando "/bin/ifconfig" e vai a cercare MTU nelle righe dell'output che corrispopndono alla connessione internet. Questo valore DEVE essere portato a 1500. Di solito, le connessioni Ethernet hanno tale valore per default, ma PPP ha 576 come default.
Per chi utilizza un modem PPPoE (che ha un MTU massimo di 1490) e per chi decide di NON portare il valore di MTU a 1500, non tutto è perduto. Se riconfiguri TUTTI i PC Mascherati, in modo che usino lo stesso valore di MTU che è utilizzato dal collegameto verso l'esterno, le cose dovrebbero funzionare bene..
Come fare? Segui i passaggi qui di seguito, a seconda del tuo sistema operativo
I seguenti esempi mostrano il caso di un MTU di 1460, per una tipica connessione PPPoE per alcune linee DSL e modem via cavo. Si raccomanda di usare il valore PIU' ALTO possibile per tutte le connessioni da 128Kb/s in su.
L'unica ragione per usare valori di MTU più bassi è di diminuire la latenza, ma a costo della resa. Vedi: http://www.ecst.csuchico.edu/~dranch/PPP/ppp-performance.html#mtu\per maggiori dettagli sull'argomento.
*** Sei pregato di inviare per email a David Ranch *** ogni notizia di SUCCESSO O INSUCCESSO su altri sistemi operativi o se hai da proporre nuove procedure per questi.
Grazie!
[Hkey_Local_Machine\System\CurrentControlset\Services\Class\NetTrans\000n] "MaxMTU"=1460 "MaxMSS"=1420
(Non includere gli apici)
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP]
"DefaultRcvWindow"=32768
"DefaultTTL"=128
(Non includere gli apici)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] <p> <tt>e
sostituisci <Adapter-Name> con il nome della interfaccia NIC della LAN collegata
"MaxMTU"=1460
(Non includere gli apici)
*** Se sai come modificare i parametri MSS, TCP Window Size, TTL in NT 4.x, ti pregherei di mandarmi le informazioni all'indirizzo dranch@trinnet.net, in modo da poterle aggiungere a questo manuale
/sbin/ifconfig eth0 mtu 1460
Sostituisci "eth0" con il nome della interfaccia di connessione alla rete
Come già detto, se sai come fare simili operazioni in altri sistemi operativi, come MS Windows 2000, OS/2, etc, ti pregherei di mandarmi le informazioni all'indirizzo dranch@trinnet.net, in modo da poterle aggiungere a questo manuale.
Verifica che sia stato caricato il modulo "ip_masq_ftp". A tale scopo, fai login nel Masq-server ed esegui il comando "/sbin/lsmod"; se non viene elencato il modulo "ip_masq_ftp", accertati di aver seguito le istruzioni DI BASE in /etc/rc.d/rc.firewall, che si trovano in politiche di indirizzamento di IP.
Se stai implementando un tuo insieme di regole, cerca di prendere quanto più ti è possibile dagli esempi di questo manuale, per non avere problemi continuamente.
Ci possono essere diverse ragioni per questo comportamento:
E' molto consigliato procurarsi una seconda scheda di rete, in modo che le due reti abbiano interfacce distinte.
Nella gran parte dei PC, l'uso di IRQTUNE di Craig Estey accresce notevolmente l'efficienza della porta seriale, anche per ocnnessioni SLIP e PPP.
setserial /dev/ttyS1 spd_vhi
Questa situazione è purtroppo molto comune, se hai una linea DSL oppure via cavo. Ciò che succede è che il tuo ISP mette la connessione in una coda con priorità molto bassa, per poter meglio rispondere a quelle attive. Il problema è che le connessioni dell'utente vengono di fatto messe OFFLINE finchè una ripresa di attività risvegli l'arhware del tuo ISP.
Cosa si può fare? Manda un ping al default gateway ogni 30 secondi. Per far questo, edita il file /etc/rc.d/rc.local e aggiungi in fondo la riga:
ping -i 30 100.200.212.121 > /dev/null &
dove devi sostituire il numero 100.200.212.121 con l'instradatore di default (default router oppure upstream router).
Probabilmente le scritte che vedi sono di due tipi comuni:
Tratto (e un po' aggiustato) da TrinityOS.- Paragrafo 10 :
Nelle regole che seguono, ad ogni riga che applica la direttiva DENY o REJECT al traffico
è stata aggiunta l'opzione "-o" al fine di produrre un rapporto (LOG) sui contatti
del firewall nel file dei messaggi di SYSLOG, che si trova nella directory:
Debian: /var/log
Redhat: /var/log
Slackware: /var/adm
Guarda in questo file e troverai qualche riga del tipo:
-------------------------------------------------------------------
IPFWADM:
Feb 23 07:37:01 Roadrunner kernel: IP fw-in rej eth0 TCP 12.75.147.174:1633
100.200.0.212:23 L=44 S=0x00 I=54054 F=0x0040 T=254
IPCHAINS:
Packet log: input DENY eth0 PROTO=17 12.75.147.174:1633 100.200.0.212:23
L=44 S=0x00 I=54054 F=0x0040 T=254
--------------------------------------------------------------------
In questa sola riga è contenuta molta informazione. Analizziamo le parti di di questo esempio.
Nota che l'esempio è per IPFWADM, ma può essere facilmente compreso anche da chi usa IPCHAINS
--------------
- Il contatto del firewall è avvenuto in data "Feb 23 07:37:01"
- Il contatto è stato prodotto sul computer "RoadRunner"
- Il contatto è stato portato sul protocolo "IP" o TCP/IP
- Il contatto era in entrata ("fw-in") sul firewall
* Altri resoconti potrebbero diversamente riportare "fw-out" per 'colpi in uscita'
oppure "fw-fwd" per colpi in indirizzamento (FORWARD)
- Il contatto è stato respinto (rejECTED).
* Altri resoconti potrebbero diversamente riportare che il contatto è stato negato ("deny")
o accettato ("accept")
- Il contatto proveniva dalla interfaccia "eth0" (connessa a Internet)
- Il contatto era un pachetto "TCP"
- Il contatto proveniva dall'indirizzo "12.75.147.174" con porta di ritorno "1633".
- Il contatto era diretto all'indirizzo "100.200.0.212" sulla porta "23" o porta di TELNET.
* Se non sai che la porta 23 è riservata a TELNET, può servirti dare un'occhiata
nel file /etc/services per vedere quali altre porte sono utilizzate
- Il pacchetto era lungo "44"
- Il pacchetto non aveva assegnato nessun tipo di servizio ("Type of Service",TOS)
--Non ti preoccupare se questa parte non è chiara ... non è necessario conoscerla
* dividi questo numero per 4 per ottenere il Type of Service per gli utenti IPCHAINS
- Il pacchetto aveva il numero "IP ID" uguale a "18"
-- Non ti preoccupare se questa parte non è chiara ... non è necessario conoscerla
- Il pacchetto aveva un offset del frammento a 16bit che includeva tutti i segnali (flags)
di pacchetto TCP/IP di "0x0000"
--on ti preoccupare se questa parte non è chiara ... non è necessario conoscerla
* Un valore che iniziasse con "0x2..." o "0x3..." significherebbe che è stato
assegnato il bit per "più frammenti" in modo che dovranno arrivare più pacchetti
frammentati per completare un unico, grande pacchetto
* Un valore che iniziasse con "0x4..." o "0x5..." significherebbe che è stato
assegnato il bit per "non frammentare"
* Ogni altro valore è l'offset di frammento (diviso per 8) che verrà utilizzato più
avanti per ricombinare un pacchetto originale grande.
- Il pacchetto aveva un tempo di vita (TimeToLive, TTL) pari a 20.
* Ogni salto su internet sottrare (1) da questo numero. Di solito i pacchetti partono
con un numero di (255) e se questo numero arriva a 0 significa che probabilmente
il pacchetto è andato perso e verrà cancellato
Si! Mediante IPPORTFW, è possibile permettere a TUTTE o solo ad alcune macchine in internet di contattare direttamente QUALUNQUE machina Mascherata. Questo argomento è trattato in modo completo nel paragrafo {refnam} di questo HOWTO.
Una delle macchine Mascherate sta generando un numero abnorme di pacchetti diretti verso internet. L'IP-Masq server riempie progressivamente la tabella di Mascheramento, finchè questa non è completamente piena. A questo punto viene mandato il messaggio di errore.
Per quello che ne so, l'unica applicazione che può temporaneamente creare una situazione del genere è un gioco detto "GameSpy". Perchè? Gamespy genera un elenco di servers e quindi manda un ping a tutte le macchine nella lista (migliaia di servers che si prestano per questo gioco). Di conseguenza si creano decine di migliaia di brevi connessioni in un tempo MOLTO ristretto. Fincè queste sessioni non terminano a causa del timeout dell'IP-Masq le tabelle di Mascheramento sono "FULL".
Cosa si può fare? Non usare programmi che hanno un comportamento del genere. Se trovi questo messaggio di errore nel log file, risali al programma che lo ha causato e non usarlo più. Se proprio ti piace GameSpy, almeno non fare molti refresh dei servers. Comunque il messaggio di errore dovrebbe sparire appena chiudi questo programma in Mascheramento e le connessioni terminano per timeout nelle tablelle del'IP-Masq.
Se ricevi il messaggio "ipfwadm: setsockopt failed: Protocol not available", non sei sul nuovo kernel. Controlla di averlo spostato nel posto giusto, rimanda LILO, e poi riparti dal boot.
Per ulteriori informazioni vedi la fine del paragrafo {refnam}.
Per avere un suuporto appropriato per il protocollo Microsoft SMB, sarebbe necessario preparare un modulo per IP-Masq; ci sono comunque tre vie alternative praticabili. Per ulteriori informazioni vedi questo articolo di Microsoft KnowledgeBase.
La prima soluzione è configurare IPPORTFW come al paragrafo {refnam} e fare un portfw TCP pores 137, 138, e 139 verso l'inirizzo IP della macchina Windows interna. Questa soluzione funziona però per UNA SOLA macchina interna.
La seconda soluzione è installare e configurare samba sulla workstation Linux che fa da IP-Masq. E' possibile mappare le condivisioni di file e stampa di Windows sul server Samba, così da poter montare le aree aree comuni SMB per tutti i clients esterni. La configurazione di Samba è interamente descritta in uno specifico HOWTO, che puoi trovare nel Linux Documentation Project e anche in TrinityOS.
La terza soluzione è configurare una VPN (virtual private network) tra le due macchine Windows o tra le due reti. Ciò può si può fare sia attraverso PPTP che IPSEC VPN. E' reperibile una patch {refnam} per Linux e anche una completa implementazione IPSEC, sia per i kernels 2.0.x che 2.2.x. Questa ultima soluzione è probabilmente la più affidabile e sicura.
Nessuna di queste tre soluzioni è trattata nel presente manuale. Il mio consiglio è di leggersi la documentazione in TrinityOS per un aiuto con IPSEC e la pagina di John Hardin su PPTP.
Fai attenzione che il protocollo SMB di Microsoft è MOLTO insicuro. E' perciò da sconsigliare l'uso non criptato attraverso internet della condivisione di file e di stampa di Microsoft e il traffico in login di Windows Domain.
La ragione più probabile e che, nelle distribuzioni linux più diffuse, i servers IDENT o "Identity" non sono in grado di trattare la connessioni con IP Mascherato. Niente paura, comunque; ci si può procurare degli IDENT che funzionano.
L'installazione di quel software va oltre l'argomento di questo HOWTO, ma ogni applicazione è provvisto di una propria documentazione. Ecco alcune URLs:
Nota che alcuni servers IRC in Internet non permettono ancora le connessioni multiple da uno stesso host, anche se ricevono le informazioni di Ident e gli utenti sono differenti. Lamentati con il sys admin remoto. :)
E' un problema di configurazione nel tuo mIRC. Per rimediare, disconnetti mIRC dal server IRC e vai in File --> Setup e fai click su "IRC servers tab". Verifica che sia assegnata la porta 6667. Per richiedere altre porte, vedi oltre.
Ora vai in File --> Setup --> Local Info e cancella i campi per Local Host e IP Address; seleziona "LOCAL HOST" e "IP address" ("IP address" potrebbe essere già selezionato, ma disabilitato).
Poi vai in "Lookup Method", e configura come "normal". NON funziona se è stato selezionato "server".
Questo è tutto. Prova di nuovo il server IRC.
Per richiedere al server IRC alte porte oltre alla 6667, (ad esempio, 6969) è necessario editare il file di partenza /etc/rc.d/rc.firewall, nel quale vengono caricati i moduli di Mascheramento IRC. Aggiungi alla riga "modprobe ip_masq_irc" la riga "ports=6667,6969". Puoi anche aggiungere ulteriori porte, separandole con una virgola.
Alla fine chiudi tutti i clients IRC su tutte le macchine Mascherate e fai il re-load del modulo per il Mascheramento IRC:
/sbin/rmmod ip_masq_irc /etc/rc.d/rc.firewall
Si e no. Mediante la proprietà del kernel di operarare "Alias di IP", gli utenti possono predisporre molte interfacce, alias di altre, come eth0:1, eth0:2, etc, ma NON è consigliabile usare l'alias di interfacce con il Mascheramento IP, perchè diventa molto difficile fornire un firewall sicuro con una sola scheda NIC. Inoltre può prodursi ua quantità enorme di errori sulla connessione, perchè i pacchetti in entrata vengono inviati quasi simultaneamente. A causa di questi inconvenienti e dato che le schede NIC costano oggi meno di $10, è consigliabile procurarasi una scheda per ogni segmento di rete che deve essere Mascherato.
Fate attenzione che il Mascheramento IP funziona esclusivamente sulle interfacce fisiche eth0, eth1, etc. Non può funzionare il Mascheramento di interfacce 'alias' di altre, come "eth0:1, eth1:1, etc". In altre parole, i seguenti comandi NON funzionano:
Se hai interesse a usare le interfacce 'alias' di altre, devi abilitare la proprietà "IP Alias" nel kernel. Quidi ricompila e fai il reboot. Poi configura la workstation Linux in modo da utilizzare la nuova interfaccia (cioè /dev/eth0:1, etc.). A questo punto puoi trattare la scheda 'alias' come un normale scheda Ethernet, con qualche limitazione, come quelle dette sopra.
C'è qualche problema con il comando "netstat". Subito dopo il reboot, il comando "netstat -M" esegue correttamente, ma dopo che un PC Mascherato ha avviato un traffico ICMP, ad es. ping, traceroute, etc., possono arrivare messaggi del tipo:
masq_info.c: Internal Error `ip_masquerade unknown type'.
Per superare il problema usa il comando "/sbin/ipfwadm -M -l". Noterai che il comando "netstat" ritorna a funzionare bene quando le richieste ICMP si chiudono.
E' possibile, ma questo argomento va la di là degli scopi del manuale. Leggi la pagina di John Hardins PPTP Masq per le informazioni che ti servono.
Prima di tutto guardati la pagina delle applicazioini Mascherate di Steve Grevemeyer. Se non trovi la soluzione lì, prova ad aggiustare il kernel con la patch di Glenn Lamb LooseUDP, di cui si è parlato al capitolo {refnam}. Per altre informazioni vedi anche la pagina sul NAT di Dan Kegel.
Se hai un po' di predisposizione per glin aspetti tecnici, usa il programma "tcpdump" e ispeziona la rete. Cerca di capire quali protocolli e numeri di porta il gioco XYZ sta usando. Con queste informazioni, iscriviti alla mailing list IP Masq e chiedi aiuto.
Scommetto che stai usando IPAUTOFW e/o lo hai compilato nel kernel, vero? E' un problema ben noto con IPAUTOFW. E' consigniabile NON configurare neppure IPAUTOFW nel kernel e di usare invece l'opzione IPPORTFW. Se ne parla più in dettaglio al paragrafo Indirizzatori.
Anche se non è proprio un problema di Mascheramento, molta gente fa questa domanda.
SMTP: il problema è che stai probabilmente usando la workstation Linux come SMTP relay server (redistributore per SMTP) e ricevi il seguente messaggio di errore:
"error from mail server: we do not relay"
Le versioni più recenti di Sendmail e altri MTA (Mail Transfer Agents) disabilitano la capacità di fare da relay per default (che è bene). Per rimediare, questo è quanto devi fare:
Poniamo che la situazione sia questa:
LAN ----------> IP ufficiale 192.168.1.x --> 123.123.123.11 192.168.2.x -->123.123.123.12
Va pria di tutto messo in chiaro che sia IPFWADM che IPCHAINS si attivano *DOPO* che il sistema di instradamento (routing) ha stabilito dove devono essere mandati i pacchetti. Questo dovrebbe essere stampato in caratteri cubitali su tutta la documentazione per IPFWADM / IPCHAINS / IPMASQ. Bisogna quindi mettere a posto l'instradamento per prima cosa e quindi aggiungere IPFWADM/IPCHAINS e/o l'IP-Masq.
Nel caso descritto prima, è necessario convincere il sistema di instradamento a dirigere i pacchetti provenienti da 192.168.1.x per la via 123.123.1233.11 e i pacchetti provenienti da 192.168.2.x per la via 123.123.123.12. Questa è la parte difficile; sarà poi facile aggiungere l'IP-Masq su un sistema di instradamento corretto.
Per realizzare questo insolito instradamento, si deve usare IPROUTE2.
Il sito FTP principale è:
I Mirrors sono:
ftp://ftp.nc.ras.ru/pub/mirrors/ftp.inr.ac.ru/ip-routing/
ftp://ftp.gts.cz/MIRRORS/ftp.inr.ac.ru/
ftp://ftp.funet.fi/pub/mirrors/ftp.inr.ac.ru/ip-routing/
ftp://sunsite.icm.edu.pl/pub/Linux/iproute/
ftp://ftp.sunet.se/pub/Linux/ip-routing/
ftp://ftp.nvg.ntnu.no/pub/linux/ip-routing/
ftp://ftp.crc.ca/pub/systems/linux/ip-routing/
ftp://donlug.ua/pub/mirrors/ip-route/
ftp://omni.rk.tusur.ru/mirrors/ftp.inr.ac.ru/ip-routing/
Sono disponibili anche i pacchetti nella distribuzione Debian, e per RPM in
ftp://omni.rk.tusur.ru/Tango/ e ftp://ftp4.dgtu.donetsk.ua/pub/RedHat/Contrib-Donbass/KAD/
NOTA: I comandi che seguono sono stati preparati SOLO perchè al momento esiste poca documentazione in giro IPROUTE2. Procurati il file http://www.compendium.com.ar/policy-routing.txt che può servire come una prima idea di un howto per IPROUTE2.
I comandi "iprule" e "iproute" sono equivalenti a "ip rule" e "ip route" (io preferisco i primi, perchè sono più facili da cercare) Nessuno dei comandi che vengono dati qui è stato provato; nel caso non funzionassero, prendi contatto con l'autore di IPROUTE2, non con David Ranch, nè Ambrose Au, nè alcun altro sulla mailling list IP-Masq, dato che non ha NIENTE a che fare con il Mascheramento IP.
I primi comandi di cui hai bisogno devono essere eseguiti una volta sola, al boot, ad esempio nel file /etc/rc.d/rc.local o, in Linux/Debian, nel file /etc/init.d/networking:
# Permette alle macchine interne delle LANs di instradare tra loro, nessun Mascheramento
/sbin/iprule add from 192.168.0.0/16 to 192.168.0.0/16 table main pref 100
# Tutto il resto del traffico proveniente da 192.168.1.x è per l'esterno,
va controllato dalla tabella 101
/sbin/iprule add from 192.168.1.0/24 to 0/0 table 101 pref 102
# Tutto il resto del traffico proveniente da 192.168.2.x è per l'esterno,
va controllato dalla tabella 102
/sbin/iprule add from 192.168.2.0/24 to 0/0 table 102 pref 102
Queste istruzioni devono essere date dopo che l'interfaccia eth0 è stata configurata.
Ad esempio,i n RedHat, nel file /etc/sysconfig/network-scripts/ifup-post.
Provali prima manualmente, per assicurarti che funzionino
# La tabella 101 impone a tutti i pacchetti specificati di uscire attraverso 123.123.123.11
/sbin/iproute add table 101 via 62123.123.123.11
# La tabella 102 impone a tutti i pacchetti specificati di uscire attraverso 123.123.123.12
/sbin/iproute add table 102 via 62123.123.123.12
A questo punto, dovresti osservare che i pacchetti provenienti da 192.168.1.x
e indirizzati verso l'esterno sono instradati per la via 123.123.123.11,
mentre i pacchetti provenienti da 192.168.2.x sono instradati per la via 123.123.123.12.
Se l'instradamento è corretto, puoi aggiungere tutte le istruzioni che ti servono
# per IPFWADM o IPCHAINS. Questo è un esempio per IPCHAINS:
/sbin/ipchains -A forward -i ppp+ -j MASQ
Se tutto si incastra perfettamente, il codice IP-Masq vedrà i pacchetti instradati verso
l'eterno via 123.123.123.11 e 123.123.123.12 e userà perciò quegli indirizzi come indirizzi
di origine per il Mascheramento.
IPCHAINS ha le seguenti proprietà, che IPFWADM non ha:
Dopo esserti assicurato che la workstation Linux che fa da IP-Masq sia ben connessa a internet e alla LAN, ci sono diverse cose che dovresti controllare:
/usr/src/linux/Documentation/Changes e accertati
che siano installate nel sistema le funzioni minime per la rete. Dopo esserti assicurato che la workstation Linux che fa da IP-Masq sia ben connessa a internet e alla LAN, ci sono diverse cose che dovresti controllare:
/usr/src/linux/Documentation/Changes e accertati
che siano installate nel sistema le funzioni minime per la rete. EQL non ha niente a che vedere con IP-Masq, anche se le due funzioni vengono solitamente associate in una workstation linux. Consiglio di leggere la NUOVA versione dell EQL HOWTO di Robert Novak per tutto quanto riguarda EQL.
Rinunci ad una soluzione libera, affidabile, con alte prestazioni, che pone requisiti hardware minimali e decidi di spendere un capitale per qualcosa che ha maggiori richieste hardware, minori prestazioni ed è meno affidabile? (IMHO. Si, ho potuto provare sul campo le due soluzioni ;-)
Okay, l'hai voluto tu. Se vuoi un servizio Windows NAT e/o ua soluzione proxy, qui c'è un elenco decente. Io non ho preferenze tra queste applicazioni, dato non le ho mai usate.
Infine, prova a fare una ricerca su web cercando "MS Proxy Server", "Wingate", "WinProxy", oppure vai alla www.winfiles.com. Mi raccomando NON dire a nessuno che ti abbiamo mandato noi.
Chiedi di essere iscritto alla mailng list per gli sviluppatori (DEVELOPERS) di IP-Masq e chiedi in cosa potresti essere utile. Per maggiori informazioni vai alla sezione {refnam} di queste FAQ.
Sei pregato di NON fare in quella lista delle domande non pertinenti allo sviluppo del Mascheramento IP!!!!
Puoi vedere alla URL Linux IP Masquerade Resource che è mantenuta da David Ranch e Ambrose Au.
Troverai altre informazioni alla pagine web di D.Ranch http://www.ecst.csuchico.edu/dranch/LINUX/index-linux.html dove si trovano il TrinityOS e altra documentazione su Linux.
Ancora, puoi andare a vedere in The Semi-Original Linux IP Masquerading Web Site curato dalla Indyramp Consulting, che fornisce anche le mailing lists per IP-Masq.
In ultimo, per domande specifiche puoi cercare negli archivi di IP MASQ e IP MASQ DEV o porre domande nelle mailing lists. Vai , per questo, alla FAQ {refnam}.
Accertati che non ci sia già qualcun altro che sta facendo la traduzione o che la traduzione sia già stata fatta. Comunque molte traduzioni degli HOWTO sono vecchie e necessitano di un aggiornamento. Puoi trovare un elenco delle traduzioni già disponibili degli HOWTOe a Linux IP Masquerade Resource.
Se non trovi lì una copia dell' attuale IP MASQ HOWTO nella lingua che tu proponi, scarica la più recente versione in formato SGML da Linux IP Masquerade Resource. E' da qui che puoi cominciare il lavoro di traduzione, mantenendo il formato SGML. Per un aiuto a proposito di SGML, vedi il riferimento www.sgmltools.org
Si, questo HOWTO è tuttora mantenuto. In passato siamo stati troppo presi da due lavori e non abbiamo avuto tempo per occuparci del manuale. E' colpa nostra e ce ne scusiamo. Dalla versione 1.50, David Ranch ha cominciato a riscriverlo e a renderlo nuovamente aggiornato.
Se ti pare che si potrebbe includere un argomento in questo HOWTO, facci sapere, scrivendo agli indirizzi ambrose@writeme.com e dranch@trinnet.net. Ancora meglio se ci fornisci direttamente le informazioni da aggiungere; le includeremo, se le troveremo appropriate e non appena le avremo controllate. Saremo molto grati per il tuo aiuto!
Abbiamo molte idee e progetti per migliorare il manuale, come studi su casi che coprano diverse sistemazioni di rete con Mascheramento di IP, maggiore spazio alla sicurezza attraverso regole forti di firewall con IPFWADM/IPCHAINS, all'uso di IPCHAINS, un maggior numero di FAQ, etc.
Se puoi darci una mano, te ne saremo grati.