IP Masquerade es una capacidad de red de Linux en desarrollo. Si un servidor Linux está conectado a Internet con IP Masquerade habilitado, los ordenadores conectados a él (bien en la misma red local, bien por módem) también pueden conectarse a Internet, incluso aunque no tengan una dirección IP oficial asignada.
Esto permite a un conjunto de máquinas acceder transparentemente a Internet ocultas tras la máquina pasarela, la cual aparece como el único sistema que está usando Internet. Romper la seguridad de un sistema configurado de forma correcta con IP Masquerade es considerablemente más difícil que romper un buen filtro de paquetes basado en cortafuegos (suponiendo que no existan fallos en ninguno).
IP Masquerade está todavía en etapa experimental. De todas formas, los
núcleos a partir del 1.3.x tienen ya soporte interno incorporado.
Muchos particulares y empresas lo están usando, con resultados
satisfactorios.
Se ha comprobado que los Navegadores de páginas web y telnet funcionan
bien sobre ip_masq. FTP, IRC y Real Audio funcionan con ciertos
módulos cargados. Otras variedades de audio por red como True Speech e
Internet Wave también funcionan. Algunos usuarios de la lista de correo
incluso lo intentaron con software de vídeo-conferencia. Incluso ping
funciona ahora, con el nuevo parche ICMP.
Por favor diríjase a la sección soportados para ver la lista completa de programas soportados.
IP Masquerade funciona bien con 'máquinas clientes' con diferentes sistemas operativos y plataformas. Ha habido éxito con sistemas usando Unix, Windows 95, Windows NT, Windows para Trabajo en Grupo (con el paquete TCP/IP), OS/2, Sistemas Macintosh OS con Mac TCP, Mac Open Transport, DOS con el paquete NCSA Telnet, VAX, Alpha con Linux, e incluso Amiga con AmiTCP o AS225-stack.
ip_masq, o
De la PUF de IP Masquerade por Ken Eves:
Representación de la configuración más simple :
SLIP/PPP +------------+ +------------+
al proveedor | Linux | SLIP/PPP | OTRA |
<---------- modem1| |modem2 <---------- modem | |
111.222.333.444 | | 192.168.1.100 | |
+------------+ +------------+
En el dibujo de arriba un servidor Linux con ip_masquerading instalado y
funcionando está conectado a Internet vía SLIP o PPP usando el
modem1. Tiene asignada la dirección IP 111.222.333.444. En esta
configuración ese modem2 permite a las personas que llaman entrar e
iniciar una conexión SLIP/PPP.
El segundo sistema (el cual no tiene porqué usar Linux) llama al servidor Linux e inicia una conexión SLIP o PPP. No tiene asignada una dirección IP en Internet así que usa 192.168.1.100 (ver abajo).
Con ip_masquerade y el rutado configurado adecuadamente la máquina OTRA puede interactuar con Internet como si estuviera realmente conectada (con unas pocas excepciones).
Citando a Pauline Middelink:
No olvide mencionar que OTRA debería tener al servidor Linux como su pasarela (si es la ruta por defecto o sólo una subred no importa). Si la OTRA no puede hacer esto, la máquina Linux debería hacer un proxy arp para todas las direcciones de rutado, pero la configuración del proxy arp va más allá del alcance del documento.
Lo siguiente es un extracto de un correo de
comp.os.linux.networking
que se ha editado para corresponder los nombres usados en el ejemplo de
arriba:
Un ejemplo de IP Masquerading
el ejemplo típico se muestra en la siguiente figura:
+----------+
| | Ethernet
| ordenador|::::::
| A |2 :192.168.1.x
+----------+ :
: +----------+ enlace
+----------+ : 1| Linux | ppp
| | ::::| masq-gate|:::::::::// Internet
| ordenador|:::::: | |
| B |3 : +----------+
+----------+ :
:
+----------+ :
| | :
| ordenador|::::::
| C |4
+----------+
<- Red Interna ->
En este ejemplo hay 4 ordenadores que centran este documento. También hay algo al otro lado de su conexión IP que le suministra la información de Internet y además otros sistemas con los que está interesado en intercambiar información.
El sistema Linux masq-gate es la pasarela enmascarada para la red
interna de los ordenadores A, B y C que permite el acceso a Internet. La
red interna usa una de las direcciones de red privadas, en este caso la
red de clase C 192.168.1.0, donde la máquina Linux
Mejor dicho, el interfaz ethernet de la máquina Linux
Las tres máquinas A, B y C (que pueden estar usando cualquier sistema
operativo, siempre que pueda "hablar IP", como Windows 95, Macintosh
MacTCP o incluso otro Linux) pueden conectarse a otras máquinas de
Internet, ya que el sistema masquerade masq-gate enmascara todas
sus conexiones de tal forma que parezcan originadas en masq-gate,
y se encarga de que los datos que le devuelven en una conexión enmascarada
sean retransmitidos al sistema original. Así los sistemas de la red
interna ven una ruta directa a Internet y son incapaces de darse cuenta
que sus datos están siendo enmascarados.
2.xPor favor diríjase a
http://ipmasq.home.ml.org/ para información más actualizada,
es difícil actualizar este COMO con frecuencia.
2.0.x, disponibles en
ftp://ftp.kernel.org/pub/linux/kernel/v2.0/
(Sí, tendrá que compilar su núcleo con ciertos soportes... Se recomienda
el último núcleo estable)
2.0.0 o superior
disponibles en
http://www.pi.se/blox/modules/modules-2.0.0.tar.gz
(modules-1.3.57 es lo mínimo requerido)
http://www.caldera.com/LDP/HOWTO/NET-2-HOWTO.html
y en
http://linuxwww.db.erau.edu/NAG/, disponible en castellano en
http://www.infor.es/LuCAS como GARL, o Guía del
Administrador de Redes Linux.
http://www.caldera.com/LDP/HOWTO/ISP-Hookup-HOWTO.html,
PPP-Como, disponible en
http://www.insflug.org y
http://www.caldera.com/LDP/HOWTO/mini/PPP-over-ISDN, así como
para los que dispongan de Infovía, el Infobia-Como,
http://www.insflug.org
ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz más
información sobre requerimientos de versiones en
http://www.xos.nl/linux/ipfwadm/
http://ipmasq.home.ml.org/ (estos parches aplicados a todos
los núcleos 2.0.x)