Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt

6.4 Masquerading ein- und ausschalten

Verschiedene Dienste können nicht über den Proxy-Server bedient werden. Dazu gehören alle Dienste, die persönlichen Charakter haben (z.B. FTP mit persönlicher Kennung, Mail abholen per POP3 von einem Server im Internet) oder die keinen Proxy zulassen (z.B. Real Audio, viele Video-Dienste, ICMP-Dienste). Um diese Dienste nutzen zu können, muss der Server Datenpakete mit der lokalen Adresse gegen die "offizielle" Internetadresse maskieren und ins Internet weiterleiten. Für die Clients sieht es in der Regel aus, als hätten sie freien Zugang zum Internet.

Sie sollten sich aber bewusst machen, dass diese Freiheit in beide Richtungen besteht: So wie die Clients sich frei im Internet bewegen, können auch Angriffe vom Internet an die lokalen Rechner gerichtet werden. Zudem geben Sie den Schülern damit viele zusätzliche Rechte für die Verbindung. Überlegen Sie sich deshalb gut, ob Sie für die geplante Tätigkeit im Internet Masquerading brauchen oder nicht. Im Normalfall ist das Masquerading abgeschaltet.

Das Masquerading wird in der Datei

	/etc/Schule/masq-ein
definiert; das sollte (derzeit) nur "root" machen.
In diesem Skript können einzelne Rechner oder auch Gruppen von Rechnern geschaltet werden; es ist z.B. möglich, dem Rechner im Lehrerzimmer stets das Masquerading zu erlauben, allen anderen Rechnern in der Schule aber nicht.

Testen Sie das Masquerading an den Clients unter Windows 95/98/NT. Gehen Sie entweder in eine DOS-Box (MS-DOS-Eingabeaufforderung) oder wählen Sie im Startmenü den Punkt "Ausführen" und geben ein "tracert t-online.de" (oder einen anderen Server). Wenn alles richtig eingerichtet und Masquerading freigegeben ist, sollte die Antwort zum Beispiel so aussehen:

Traceroute
Abbildung 6.4-2: Traceroute unter Windows

Sie erfahren nebenbei den Weg, den die IP-Pakete gehen müssen, um an ihr Ziel zu gelangen und außerdem die jeweils benötigte Zeit. Kommt diese Meldung nicht, prüfen Sie zuerst die Einstellung für das Gateway und die DNS-Konfiguration an den Clients.

Der Server maskiert alle Pakete außer HTTP-Protokollanfragen. Damit soll verhindert werden, dass Schüler die Sperrregeln des Proxy-Servers umgehen können. Beachten Sie aber: Nicht alle Dienste im Internet sind wirklich masquerading-fähig. Seien Sie also nicht enttäuscht, wenn z.B. eine Video-Übertragung mit Microsofts Netmeeting derzeit nicht funktioniert.


Vorheriger Abschnitt Inhaltsverzeichnis Nächster Abschnitt
© Reiner Klaproth, 10.02.2002
Helmut Hullen und Arktur-Team
Diese Seite dokumentiert den c't/ODS-Schulserver, insbesondere die Dateien in den Verzeichnissen "/slack/ods1" und "slack/ods9" auf der Installations-CD (oder der zugehörigen *.iso-Datei).
Die o.g. Dateien stehen unter der GNU Public License GPLv2, dementsprechend steht auch diese Dokumentation unter der GPL.
© Arktur-Team 2004,2005,2006,2007,2008,2009,2010,2011