Tutto a posto! I preliminari sono finiti, adesso siamo dove inizia la magia. L'IP masquerading è uno dei servizi veramente magici che Linux fornisce. Ci sono prodotti commerciali per Windows che fanno la stessa cosa, ma non in modo così efficace: un vecchio 386 può felicemente fornire servizi di IP masquerading per un intero ufficio di medie dimensioni, ma non riesce a far girare Windows 95, anche solo col pacchetto di masquerading (come supplemento, ho letto su alcune recenti riviste che Windows 2000 supporterà la "condivisione delle connessioni" senza nessun software aggiuntivo -- questo suona come se le compagnie che vendevano software di condivisione delle connessioni siano state "abbracciate ed estese" dalla Microsoft -- comunque, non consiglio di provare Windows 2000 su un 386).
Linux ha funzionalità di firewall estremamente versatili, ed adesso le andremo
ad utilizzare nella maniera più semplice e cruda. Se si desidera
imparare come implementare un firewall da esperto, si dovrebbe
leggere sia il
Firewalling HOWTO per capire la teoria e l'
IPChains HOWTO per le istruzioni sul nuovo
strumento di firewall ipchains che viene fornito col kernel 2.2.X
(e per estensione con Red Hat 6.X). È anche disponibile un
IP Masquerading HOWTO molto buono che contiene molti più dettagli riguardo ai trucchi sul masquerading.
Una volta
che la rete interna e quella esterna sono operative, configurare un semplice masquerading è molto facile. Si modifichi il
file /etc/rc.d/rc.local aggiungendo le seguenti righe:
# 1) Svuota le tabelle delle regole. /sbin/ipchains -F input /sbin/ipchains -F forward /sbin/ipchains -F output # 2) Imposta i tempi del MASQ e consente i pacchetti in entrata per la configurazione DHCP. /sbin/ipchains -M -S 7200 10 60 /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 68 -d 0/0 67 -p udp # 3) Nega tutti i pacchetti di forwarding tranne quelli della rete interna. # Maschera questi ultimi. /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ # 4) Carica i moduli di forwarding per i servizi speciali. /sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_raudio
Le ultime due righe caricano i moduli del kernel che permettono all'FTP ed a RealAudio di funzionare sui computer della rete interna. Ci sono altri moduli per i servizi speciali che possono essere aggiunti se se ne ha bisogno:
/sbin/modprobe ip_masq_cuseeme) /sbin/modprobe ip_masq_irc) /sbin/modprobe ip_masq_quake) /sbin/modprobe ip_masq_vdolive)
Ora siamo pronti per provare il masquerading! Si lanci lo script
rc.local con il comando /etc/rc.d/rc.local e siamo pronti a partire!
Ci si sieda davanti ad uno degli altri computer e si provi a navigare nel
web. Con un po' di fortuna, ogni cosa funzionerà.