Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt

6.4 Masquerading ein- und ausschalten

Verschiedene Dienste können nicht über den Proxy-Server bedient werden. Dazu gehören alle Dienste, die persönlichen Charakter haben (z.B. FTP mit persönlicher Kennung, Mail abholen per POP3 von einem Server im Internet) oder die keinen Proxy zulassen (z.B. Real Audio, viele Video-Dienste, ICMP-Dienste). Um diese Dienste nutzen zu können, muss der Server Datenpakete mit der lokalen Adresse gegen die "offizielle" Internetadresse maskieren und ins Internet weiterleiten. Für die Clients sieht es in der Regel aus, als hätten sie freien Zugang zum Internet. Eine genauere Beschreibung finden Sie im Kapitel 10.8

Sie sollten sich aber bewusst machen, dass diese Freiheit in beide Richtungen besteht: So wie die Clients sich frei im Internet bewegen, können auch Angriffe vom Internet an die lokalen Rechner gerichtet werden. Zudem geben Sie den Schülern damit viele zusätzliche Rechte für die Verbindung. Überlegen Sie sich deshalb gut, ob Sie für die geplante Tätigkeit im Internet Masquerading brauchen oder nicht. Im Normalfall ist das Masquerading abgeschaltet.

Sie haben zwei Möglichkeiten, das Masquerading freizugeben. Beide sind an das Online-Interface gebunden. Als sysadm können sie das Masquerading nicht umschalten! Die erste Möglichkeit ist beim Aufbau der Internet-Verbindung gegeben: (siehe Abbildung 6.1-8) Sie müssen unter "Masquerading" lediglich "ein" wählen. Dann wird neben der Verbindung gleichzeitig Masquerading eingeschaltet. Die zweite Möglichkeit ist der Punkt "Masquerading" im Menü des Admin-Interfaces (siehe Abbildung 6.1-7). Hier gelangen Sie auf folgende Seite:

Masquerading
Abbildung 6.4-1: Schalten des Masqueradings

Sie erfahren den Zustand des Masqueradings (ein- oder ausgeschaltet) und müssen ihr Unix-Passwort angeben, um den Zustand umzuschalten. Den Anmeldename trägt die Oberfläche normalerweise selbst ein.

Testen Sie das Masquerading an den Clients unter Windows 95/98/NT. Gehen Sie entweder in eine DOS-Box (MS-DOS Eingabeaufforderung) oder wählen Sie im Startmenü den Punkt "Ausführen" und geben ein "tracert www.t-online.de" (oder einen anderen Server). Wenn alles richtig eingerichtet und Masquerading freigegeben ist, sollte die Antwort zum Beispiel so aussehen:

Traceroute
Abbildung 6.4-2: Traceroute unter Windows

Sie erfahren nebenbei den Weg, den die IP-Paket gehen müssen, um an ihr Ziel zu gelangen und außerdem die jeweils benötigte Zeit. Kommt diese Meldung nicht, prüfen Sie zuerst die Einstellung für den Gateway und die DNS-Konfiguration an den Clients.

Der Server maskiert alle Pakete außer HTTP-Protokollanfragen. Damit soll verhindert werden, dass Schüler die Sperrregeln des Proxy-Servers umgehen können. Beachten Sie aber: Nicht alle Dienste im Internet sind wirklich masquerading-fähig. Seien Sie also nicht enttäuscht, wenn z.B. eine Video-Übertragung mit Microsofts Netmeeting derzeit nicht funktioniert.


Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt
© Reiner Klaproth, 10.02.2002