Product SiteDocumentation Site

Kapittel 10. Nettverksinfrastruktur

10.1. Innfallsport (gateway)
10.2. Privat virtuelt nettverk
10.2.1. OpenVPN
10.2.2. Virtuelt privat nettverk med SSH
10.2.3. IPsec
10.2.4. PPTP
10.3. Tjenestekvalitet
10.3.1. Prinsipp og mekanisme
10.3.2. Konfigurering og implementering
10.4. Dynamisk ruting
10.5. IPv6
10.5.1. Tunnellering
10.6. Domenenavnetjenere (DNS)
10.6.1. Prinsipp og mekanisme
10.6.2. Konfigurering
10.7. DHCP
10.7.1. Konfigurering
10.7.2. DHCP og DNS
10.8. Diagnoseverktøy for nettverk
10.8.1. Lokale diagnoser: netstat
10.8.2. Fjerndiagnostikk: nmap
10.8.3. Sniffers: tcpdump og wireshark
Linux innehar hele Unix-arven når det gjelder nettverk, og Debian tilbyr hele samlingen av verktøy for å opprette og styre dem. Dette kapittelet går igjennom disse verktøyene.

10.1. Innfallsport (gateway)

En innfallsport (gateway) er et system som forbinder flere nettverk. Dette begrepet refererer ofte til et lokalt nettverks «utgang» («exit point») på den obligatoriske banen til alle eksterne IP-adresser. Inngangsporten er koblet til hver av de nettverkene den binder sammen, og fungerer som en ruter for å formidle IP-pakker mellom dens ulike grensesnitt.
Når et lokalt nettverk bruker et privat adresseområde (ikke rutbare (tilgjengelig) på Internettet), trenger inngangsporten å gjennomføre address masquerading (adresse maskering) slik at maskinene i nettverket kan kommunisere med omverdenen. Den maskerte operasjonen er en slags mellomtjener som opererer på nettverksnivå: Hver utgående tilkobling fra en intern maskin er erstattet med en forbindelse fra inngangsporten selv (siden porten har en ekstern, rutbar adresse), dataene som går gjennom den maskerte tilkoblingen blir sendt til den nye, og dataene som kommer tilbake som svar sendes gjennom til den maskerte forbindelsen til den interne maskinen. Inngangsporten bruker en rekke øremerkede TCP-porter til dette formål, vanligvis med meget høye tall (over 60000). Hver tilkobling som kommer fra en intern maskin vises deretter til omverdenen som en forbindelse som kommer fra en av disse reserverte portene.
Inngangsporten kan også utføre to typer network address translation (eller i korthet NAT). Den første typen, Destination NAT (DNAT) er en teknikk for å endre IP-adressedestinasjonen (og/eller TCP- eller UDP-porten) til en (vanligvis) innkommende tilkobling. Forbindelsens sporingsmekanisme endrer også følgende pakker i samme tilknytning for å sikre kontinuitet i kommunikasjonen. Den andre typen NAT er Source NAT (SNAT), der masquerading er et spesielt tilfelle; SNAT endrer kildens IP-adresse (og/eller TCP- eller UDP-porten) til en (vanligvis) utgående tilkobling. Som for DNAT, er alle pakkene i forbindelsen hensiktsmessig håndtert av forbindelsens sporingsmekanisme. Merk at NAT er kun relevant for IPv4 og dens begrensede adresseområde; i IPv6, reduserer den store tilgjengeligheten av adresser nytten av NAT ved å la alle «interne» adresser være direkte rutbare på Internett (dette betyr ikke at interne maskiner er tilgjengelig, siden mellomliggende brannmurer kan filtrere trafikk).
Nok teori, la oss være praktiske. Å snu et Debian-system til en port er en så enkel sak som å aktivere det aktuelle valget i Linux-kjernen ved hjelp av /proc/ virtuelle filsystemet:
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
Dette alternativet kan også aktiveres automatisk ved oppstart hvis /etc/sysctl.conf setter net.ipv4.conf.default.forwarding-valget til 1.

Eksempel 10.1. /etc/sysctl.conf-filen

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
Den samme effekten kan oppnås for IPv6 ved å bytte ipv4 med ipv6 i den manuelle kommandoen, og bruke net.ipv6.conf.all.forwarding-linjen i /etc/sysctl.conf.
Å aktivere IPv4-maskering er en litt mer komplisert operasjon som involverer å sette opp netfilter-brannmuren.
Tilsvarende, å bruke NAT (for IPv4), krever oppsett av netfilter. Siden det primære formålet med denne komponenten er pakkefiltrering, er detaljene oppført i Kapittel 14: «Sikkerhet» (se Seksjon 14.2, «Brannmur eller pakkefiltrering»).