sów sie cio wych za war tych w nag³ów kach da ta gra mu, któ ry za cho dzi w cza sie ich prze sy³ania...

Dzieci to nie książeczki do kolorowania. Nie da się wypełnić ich naszymi ulubionymi kolorami.

Na pocz¹tku mo¿e ci siê to wy da waæ doœæ dziw ne, ale zo ba czysz
wkrót ce, ¿e jest to ide al ne roz wi¹za nie opi sy wa ne go pro ble mu i wie le osób z niego
ko rzy sta. Ma sko wa nie IP (ang. IP ma squ era ding) to na zwa na da na jed nej z od mian
trans la cji ad re sów sie cio wych, któ ra po zwa la ho stom z ad re sem sie ci pry wat nej
przed sta wiæ siê w In ter ne cie pod jed nym pu blicz nym ad re sem IP.
206
Roz dzia³ 11: Ma sko wa nie IP i trans la cja ad re sów sie cio wych
Ma sko wa nie IP da je mo ¿li woœæ u¿y wa nia ad re su IP z sie ci pry wat nej (za re zer wo -
wa ne go) w two jej sie ci LAN, a twój ru ter opar ty na Linuksie wy ko nu je w cza sie rze -
czy wi stym pew ne in te li gent ne t³uma cze nie ad re sów IP i por tów. Gdy ru ter od bie rze
da ta gram od kom pu te ra z sie ci LAN, spraw dza, czy jest to da ta gram ty pu „TCP”,
„UDP”, „ICMP” itp. i mo dy fi ku je go tak, ¿e wygl¹da on jak by by³ wy ge ne ro wa ny
przez sam ru ter (ru ter pa miê ta, ¿e to zro bi³). Na stêp nie ru ter wy sy³a da ta gram do In -
ter ne tu, na daj¹c mu je den ad res IP. Gdy host do ce lo wy od bie rze da ta gram, uwie rzy,
¿e przy szed³ on z ru te ra i wy œ le w od po wie dzi da ta gra my na je go ad res. Gdy ru ter
linuk so wy z w³¹czo nym ma sko wa niem od bie rze da ta gram przez swo je po³¹cze nie
sie cio we, zaj rzy do swo jej ta bli cy ak tyw nych, ma sko wa nych po³¹czeñ, by zo ba czyæ,
czy da ta gram rze czy wiœ cie na le ¿y do kom pu te ra w sie ci LAN. Je ¿eli tak, od wró ci
do ko nan¹ przez sie bie wcze œniej mo dy fi ka cjê oraz wy œ le da ta gram te mu kom pu te -
ro wi.
Pro sty przyk³ad ta kiego dzia³ania po kaz ano na ry sunku 11 -1.
Ry su nek 11-1. Ty po wa kon fi gu ra cja ma sko wa nia IP
Ma my ma³¹ sieæ Et her net wy ko rzy stuj¹c¹ je den z za re zer wo wa nych ad re sów sie ci.
W sie ci jest linuk so wy ru ter z funk cj¹ ma sko wa nia, daj¹cy do stêp do In ter ne tu. Jed -
na ze sta cji ro bo czych w sie ci (192.168.1.3) chce po³¹czyæ siê z ho stem zdal nym o ad -
re sie 209.1.106.178 na por cie 8888. Sta cja ro bo cza kie ru je swój da ta gram do ru te ra,
któ ry stwier dza, ¿e ¿¹da nie po³¹cze nia wy ma ga ma sko wa nia. Przyj mu je da ta gram
i alo ku je port (1035), za stê pu je ad res i port ho sta swo imi w³asny mi i prze sy³a da ta -
gram do ho sta do ce lo we go. Do ce lo wy host my œli, ¿e otrzy ma³ ¿¹da nie po³¹cze nia
od ru te ra linuk so we go z w³¹czo nym ma sko wa niem i ge ne ru je da ta gram z od po wie -
dzi¹. Otrzy maw szy da ta gram, ru ter znaj du je po wi¹za nie w ta bli cy ma sko wa nia
i od wra ca ope ra cje wy ko na ne na wy chodz¹cym da ta gra mie. Na stêp nie prze sy³a od -
po wie dŸ do ho sta, od któ re go pier wot nie wy szed³ da ta gram.
Skut ki ubocz ne i do dat ko we ko rzy œci
207
Lo kal ny host my œli, ¿e ko mu ni ku je siê bez po œred nio z ho stem zdal nym. Zdal ny host
nic nie wie o ho œcie lo kal nym, a my œli, ¿e po³¹cze nie na wi¹zu je z ru te rem. Ru ter
z ma sko wa niem wie, ¿e te dwa ho sty ko mu ni kuj¹ siê ze sob¹, ja kich po rtów u¿y waj¹
i do ko nu je trans la cji adres ów i portów wy ma ga nej do uzy ska nia ta kiej ko mu ni ka cji.
Mo¿e to wy daw aæ siê nie co za gmat wane, ale dzia³a i ³atwo siê kon fig uru je. Nie
przej muj siê wiêc, je ¿eli nie ro zum iesz jesz cze szcz egó³ów.
Skut ki ubocz ne i do dat ko we ko rzy œci
Funk cji ma skow ania IP to war zysz¹ pew ne skut ki uboczne, z których niektó re s¹
u¿yt eczne, a in ne mog¹ prze szkad zaæ.
Po pierw sze, ¿a den z ho stów sie ci, któ ra jest obs³ugi wa na przez ru ter ma skuj¹cy, nie
jest wi dzia ny bez po œred nio, dziê ki cze mu po trze bu jesz tyl ko jed ne go po praw ne go
i ru to wal ne go ad re su IP, aby wszyst kie ho sty mog³y ³¹czyæ siê z In ter ne tem. Ma to
tak¹ wa dê, ¿e ¿a den z ho stów nie jest wi docz ny z In ter ne tu i nie mo¿esz siê do nie go
pod³¹czyæ bez po œred nio. Je dy nym wi docz nym ho stem w ma sko wa nej sie ci jest sa ma
ma szy na ma skuj¹ca. Jest to istot ne, gdy roz wa ¿asz us³ugi, ta kie jak pocz ta czy FTP.
Po ma ga usta liæ, ja kie us³ugi po win ny byæ udo stêp nia ne przez ru ter ma skuj¹cy, a ja kie
po win ny byæ udo stêp nia ne przez proxy lub trak to wa ne w in ny, szcze gól ny spo sób.
Po dru gie, po nie wa¿ ¿a den z ma sko wa nych ho stów nie jest wi docz ny, s¹ one w pew -
nym sen sie za bez pie czo ne przed ata ka mi z ze wn¹trz. Za pew ne uprasz cza to kon fi -
gu ro wa nie fi re wal la na ho œcie ma skuj¹cym. Mo¿esz siê na wet za sta na wiaæ, czy fi re -
wall jest w ogó le po trzeb ny. Nie po wi nie neœ jed nak zbyt nio ufaæ ma sko wa niu. Ca³a
two ja sieæ jest tyl ko tak za bez pie czo na jak host ma skuj¹cy, a wiêc po wi nie neœ u¿yæ
fi re wal la, je ¿eli bez pie cze ñstwo jest dla cie bie istot ne.
Po trze cie, ma sko wa nie IP bê dzie mia³o pe wien wp³yw na wy daj noœæ sie ci. W ty po -
wych kon fi gu ra cjach praw do po dob nie bê dzie to le d wo za uwa ¿al ne. Gdy byœ jed nak
mia³ wie le ak tyw nych, za ma sko wa nych se sji, móg³byœ za uwa ¿yæ, ¿e prze twa rza nie
re ali zo wa ne na ma szy nie ma skuj¹cej za czy na wp³ywaæ na prze pu sto woœæ sie ci. Ma -
sko wa nie IP wy ma ga wy ko na nia spo rej pra cy dla ka ¿ de go da ta gra mu, po rów ny -
wal nej z ty po wym ru tin giem. Je ¿eli pla no wa³eœ po wie rzyæ kom pu te ro wi 386SX16
obs³ugê ma sko wa nia dla ko mu to wa ne go ³¹cza do In ter ne tu, mo¿e to wy star czyæ, ale