Product SiteDocumentation Site

Kapitel 10. Netzwerk-Infrastruktur

10.1. Gateway
10.2. X.509-Zertifikate
10.2.1. Erstellen kostenloser vertrauenswürdiger Zertifikate
10.2.2. Public-Key-Infrastrultur: easy-rsa
10.3. Virtual Private Network
10.3.1. OpenVPN
10.3.2. Virtual Private Network mit SSH
10.3.3. IPsec
10.3.4. PPTP
10.4. Quality of Service
10.4.1. Prinzip und Mechanismus
10.4.2. Konfigurieren und Ausführen
10.5. Dynamisches Routing
10.6. IPv6
10.6.1. Tunneln
10.7. Domain Name Server (DNS)
10.7.1. DNS-Software
10.7.2. bind konfigurieren
10.8. DHCP
10.8.1. Konfigurieren
10.8.2. DHCP und DNS
10.9. Werkzeuge für die Netzwerk-Diagnose
10.9.1. Lokale Diagnose: netstat
10.9.2. Entfernte Diagnose: nmap
10.9.3. Netzwerk-Sniffer: tcpdump und wireshark
Linux stellt das ganze Unixerbe an Netzwerkfunktionalität zur Verfügung und Debian bietet einen kompletten Satz an Werkzeugen, um ein Netzwerk aufzubauen und zu verwalten. In diesem Kapitel werden diese Werkzeuge besprochen.

10.1. Gateway

Ein Gateway ist ein System, das mehrere Netzwerke verbindet. Dieser Ausdruck bezieht sich häufig auf den "Ausgang" eines lokalen Netzwerks auf dem vorgeschriebenen Pfad zu externen IP-Adressen. Das Gateway ist mit jedem der Netzwerke verbunden, die es verbindet, und routet IP-Pakete zwischen verschiedenen Schnittstellen.

ZURÜCK ZU DEN GRUNDLAGEN IP-Paket

Die meisten Netzwerke nutzen heute das IP-Protokoll (Internet-Protocol). Dieses Protokoll unterteilt die gesendeten Daten in kleine Pakete. Jedes Paket enthält neben den Daten auch noch Hinweise zur korrekten Übertragung.

ZURÜCK ZU DEN GRUNDLAGEN TCP/UDP

Viele Programme verarbeiten die individuellen Pakete nicht selbst, auch wenn sie die Daten per IP übertragen. Sie nutzen oft TCP (Transmission Control Protocol/Transport Kontroll Protokoll). TCP ist eine Schicht über IP, um Datenströme zwischen zwei Punkten zu ermöglichen. Programme sehen nur einen Eingang, in den sie ihre Daten senden können und dass die gleichen Daten garantiert ohne Verlust (und in der gleichen Reihenfolge) am Ende der Verbindung ankommen. Obwohl viele verschiedene Fehler in den unteren Schichten auftreten können, regelt das TCP die erneute Versendung verlorener Pakete; und Pakete, die in falscher Reihenfolge ankommen (z. B. wegen verschiedener Pfade) werden in der richtigen Reihenfolge ausgegeben.
Ein weiteres auf IP aufbauendes Protokoll ist UDP(User Datagram Protocol). Im Gegensatz zu TCP ist es paketorientiert. Es wird ein anderes Ziel verfolgt: Es sendet ein Paket von einer Anwendung zu einer Anderen. Das Protokoll kümmert sich nicht um verlorene Pakete oder die Reihenfolge der Pakete. Der Hauptvorteil ist die sehr niedrige Latenz, ein verlorenes Paket hält den Datenstrom nicht auf bis dieses wieder übertragen wird.
TCP und UDP nutzen Ports, das sind "Erweiterungs Nummern" um Verbindungen mit einer Anwendung der Maschine herzustellen. Dieses Konzept erlaubt es verschiedene Verbindungen mit einem Partner aufzubauen, da man diese Verbindungen anhand der Port-Nummer unterscheiden kann.
Some of these port numbers — standardized by the IANA (Internet Assigned Numbers Authority) — are “well-known” for being associated with network services. For instance, TCP port 25 is generally used by the email server. The list of services associated with port numbers can be found in the /etc/services file, also explained in services(5), as well as in:
→ https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Wenn ein lokales Netzwerk einen privaten Adressbereich verwendet (im Internet nicht erreichbar), muss das Gateway Addressen-Masquerading anwenden, damit die Rechner im Netzwerk mit der Außenwelt kommunizieren können. Das Masquerading ist eine Art Proxy-Verfahren auf Netzwerk-Ebene: Jede von einem internen Rechner ausgehende Verbindung wird durch eine Verbindung vom Gateway selbst ersetzt (da das Gateway eine externe, erreichbare Adresse hat). Durch die maskierte Verbindung gehende Daten werden an die neue Adresse gesendet; Antwortdaten werden durch die maskierte Verbindung an den internen Rechner geschickt. Das Gateway verwendet eine Reihe fest zugeordneter TCP-Ports, gewöhnlich mit sehr hohen Nummern (über 60000). Jede von einem internen Rechner kommende Verbindung erscheint der Außenwelt dann so, als käme sie von einem dieser reservierten Ports.

CULTURE Privater Addressbereich

RFC 1918 definiert drei IPv4-Adressbereiche, die nicht im Internet geroutet werden, sondern nur in lokalen Netzwerken. Das erste Netz, 10.0.0.0/8 (siehe Seitenleiste ZURÜCK ZU DEN GRUNDLAGEN Wesentliche Netzwerkkonzepte (Ethernet, IP-Adresse, Subnetz, Broadcast)), ist ein Klasse-A Bereich (mit 224 IP-Adressen). Das Zweite, 172.16.0.0/12, enthält 16 Klasse-B Bereiche (172.16.0.0/16 bis 172.31.0.0/16), mit jeweils 216 IP-Adressen. 192.168.0.0/16 ist schließlich ein Klasse-B Bereich (der 256 Klasse-C Bereiche, 192.168.0.0/24 bis 192.168.255.0/24, mit jeweils 256 IP-Adressen zusammenschließt).
→ http://www.faqs.org/rfcs/rfc1918.html
Das Gateway kann auch zwei Arten von Network Address Translation (oder kurz NAT genannt) durchführen. Die erste Art, Destination NAT (DNAT), ist ein Verfahren zur Änderung der Ziel-IP-Adresse (oder des TCP- beziehungsweise UDP-Ports) für eine (gewöhnlich) ankommende Verbindung. Der Mechanismus zur Verbindungsverfolgung ändert auch die innerhalb derselben Verbindung nachfolgenden Pakete, um Kontinuität in der Kommunikation sicherzustellen. Die zweite Art des NAT ist Source NAT (SNAT), bei dem das Masquerading ein besonderer Fall ist; SNAT ändert die Ausgangs-IP-Adresse (oder den TCP- beziehungsweise UDP-Port) einer (gewöhnlich) abgehenden Verbindung. Wie beim DNAT werden alle Pakete innerhalb der Verbindung durch den Verbindungsverfolgungsmechanismus behandelt. Beachten Sie, dass NAT nur für IPv4 und seinen begrenzten Adressraum gültig ist; bei IPv6 vermindert die große Anzahl von Adressen den Nutzen des NAT erheblich, da es zulässt, dass alle "internen" Adressen direkt ins Internet geleitet werden (dies bedeutet nicht, dass interne Rechner zugänglich sind, da dazwischenliegende Firewalls den Datenverkehr filtern können).

ZURÜCK ZU DEN GRUNDLAGEN Port-Weiterleitung

Eine konkrete Anwendung von DNAT ist port forwarding. Ankommende Verbindungen eines bestimmten Ports einer Maschine werden zu einem Port einer anderen Maschine weitergeleitet. Andere Lösungen erzielen ähnliche Ergebnisse, auf Anwendungsebene insbesondere ssh (siehe Abschnitt 9.2.1.4, „Verschlüsselte Tunnel mit Port-Weiterleitung einrichten“) oder redir.
Genug der Theorie. Um aus einem Debian-System ein Gateway zu machen, genügt es die passende Option im Linux-Kernel zu aktivieren. Dies geschieht im virtuellen /proc/-Verzeichnis: 
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
This option can also be automatically enabled on boot if /etc/sysctl.conf or a configuration file in /etc/sysctl.d/ sets the net.ipv4.conf.default.forwarding option to 1.

Beispiel 10.1. Die Datei /etc/sysctl.conf

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
Derselbe Effekt kann für IPv6 durch einfaches Ersetzen von ipv4 durch ipv6 im manuellen Befehl und durch Verwendung der Zeile net.ipv6.conf.all.forwarding in /etc/sysctl.conf erreicht werden.
Die Konfiguration von IPv4-Masquerading ist etwas schwieriger und schließt die Konfiguration der netfilter-Firewall ein.
Auch NAT (für IPv4) erfordert die Konfiguration von netfilter. Da der Hauptzweck dieser Komponente im Filtern von Paketen besteht, sind die Einzelheiten in Kapitel 14: „Sicherheit aufgeführt (siehe Abschnitt 14.2, „Firewall oder Paketfilter“).