floppy-isdn4linux Version 3.6.2 - Fli4l

3. Basiskonfiguration
Dabei ist network die Netzwerkadresse, /netmaskbits die Netzmaske in CIDR (Seite 39)
Schreibweise und gateway die Adresse des Rechners, der die Verbindung zu dem Netzwerk
herstellt. Der Gateway-Rechner muss natürlich im gleichen Netzwerk, wie der fli4l-Router
liegen! Ist z.B. das Netzwerk 192.168.7.0 mit der Netzwerkmaske 255.255.255.0 über das
Gateway 192.168.6.99 erreichbar, dann lautet der Eintrag:
IP_ROUTE_N=’1’
IP_ROUTE_1=’192.168.7.0/24 192.168.6.99’
Wenn der fli4l-Router nicht als Internet-Router eingesetzt wird sondern nur als reiner
Ethernetrouter kann man in einem IP_ROUTE_x Eintrag eine Default-Route angeben.
Dazu wird analog zu der network/netmaskbits Schreibweise 0.0.0.0/0 eingetragen, so wie
im Beispiel zu sehen ist.
IP_ROUTE_N=’3’
IP_ROUTE_1=’192.168.1.0/24 192.168.6.1’
IP_ROUTE_2=’10.73.0.0/16 192.168.6.1’
IP_ROUTE_3=’0.0.0.0/0 192.168.6.99’
3.11. Konfiguration des Paketfilters
Der von Fli4l verwendete Linux-Kern stellt einen Paketfilter zur Verfügung. Mit Hilfe dieses
Paketfilters wird gesteuert, wer mit dem Router bzw. über ihn hinweg kommunizieren darf.
Weiterhin können Dinge wie Port-Forwarding (ein an den Router gerichtetes Paket wird an
einen anderen internen Rechner weitergereicht) und Masquerading (Pakete, die von einem
Rechner hinter dem Router kommen, werden so verändert, dass sie so aussehen, als kämen sie
vom Router selbst) realisiert werden. Für die Konfiguration gibt es zwei Varianten, die alte auch
in 2.0.x vorhandene Variante und eine neue, die eine flexiblere Konfiguration des Paketfilters
gestattet. Welche Variante genutzt wird, wird durch die Variable PF_NEW_CONFIG bestimmt.
Standardmäßig steht PF_NEW_CONFIG auf ’yes’ und wählt damit die neue Konfiguration aus.
Hier beschreiben wir allerdings zuerst die originale Konfiguration, die einfacher zu verstehen
ist und im Anschluss daran die neue Konfiguration, die wesentlich flexibler ist, aber auch mehr
Einarbeitung erfordert. Wählt man die originale Konfiguration aus, zeigt der Router beim
Booten an, wie diese Konfiguration im neuen Format aussehen würde. Man kann sich das in
aller Ruhe ansehen und evtl, bei Bedarf auf die neue, flexiblere Konfiguration wechseln.
Die Struktur des Paketfilters ist in Abbildung 3.1 angedeutet. Pakete kommen auf einem
Netzwerkinterface rein und durchlaufen die Pre-Routing-Chain. Hier werden evtl. an den Router
gerichtete Pakete an einen anderen Rechner weitergereicht, indem die Ziel-Ip-Adresse und
der Zielport manipuliert werden. Ist das Paket an den Router gerichtet, wird es an die Input-
Chain, andernfalls an die Forward-Chain weitergereicht. Beide Chains prüfen, ob das Paket
zulässig ist. Wird das Paket akzeptiert, wird es an den lokalen Zielprozess zugestellt oder
über die Post-Routing-Chain (in der das Masquerading stattfindet) an das Netzwerkinterface
weitergereicht, über das das Paket sein Ziel erreichen kann.
3.12. Die alte Konfiguration des Paketfilters
Bei der Konfiguration des Paketfilters werden zwei Dinge unterschieden: Die kommunikation
mit dem Router und die Kommunikation mit anderen Netzen über den Router hinweg. An
41