Linux – Friheden til systemadministration: Version 2.8.20060113 – 2021-01-07 | ||
---|---|---|
forrige | Kapitel 6. TCP/IP og DNS | næste |
Der er fordele ved at gøre sine computere direkte tilgængelige over internettet, men der bestemt også ulemper! For hackere er det et rent slaraffenland; eftersom de kan kommunikere med samtlige adresser direkte, er der ingen mellemled til at bremse deres indbrudsforsøg.
For at hindre direkte kommunikation mellem internettet og lokalnettet benytter man såkaldte private IP-adresser som ikke kan nås fra internettet.
Private IP-adresser er specielle adresseområder som man har valgt at "frede", netop med det formål at firmaer/institutioner kan vælge et af disse og benytte det på deres lokalnetværk. Private IP-adresser er altså derfor modsætningen til offentlige IP-adresser, da private adresser ikke er brugbare på internettet. De bliver simpelthen sorteret fra når de forsøger at komme igennem en gateway. Følgende oversigt viser de private IP-adresseområder:
Tabel 6-6. Private IP-adresser
Netklasse: | Antal klasser: | IP-adresser: |
---|---|---|
A | 1 | 10.*.*.* |
B | 16 | 172.16.*.* op til 172.31.*.* |
C | 256 | 192.168.*.* |
I praksis fungerer et netværk med private adresser ikke meget anderledes end et netværk med officielle adresser. Når de enkelte computere skal kommunikere med en IP-adresse som er uden for deres eget IP-net, og derfor kommunikerer via deres gateway, er denne sat op til at "oversætte" deres adresse til en officiel adresse.
Basalt set fungerer det på den måde at de beder gateway'en om at kommunikere med en given internet-computer på deres vegne. internet-computeren "tror" at den udelukkende kommunikerer med gateway'en - og kender derfor ikke til computerne bag ved gateway'en. Man kan derfor også kalde det en slags "envejs-kommunikation", da det kun er computeren med den private adresse der kan kontakte en computer på internettet og ikke omvendt.
Denne form for adresse-oversættelse kaldes også NAT, Network Address Translation, hvilket er en slags udvidet routnings-funktion. Mange routere kan udføre denne funktion. For at sætte Linux op med kerne 2.2 til det, skal programmet ipchains benyttes, og med kerne 2.4 anvendes netfilter. Dette er forklaret nøjere i bogen "Linux – Friheden til sikkerhed på internettet".
Det er meget vigtigt, at man sørger for at vælge private IP-adresser når man kører med NAT som er inde for det tilladte område. Hvis man i stedet vælger at benytte et IP-net som i forvejen er i brug, vil konsekvensen være, at man ikke kan kommunikere med de enheder som retmæssigt har fået tildelt IP-adresserne.
Det skyldes, at ens computere er sat op til at benytte en gateway, når de skal kommunikere med enheder uden for det lokale IP-net. Hvis IP-adressen derimod er inden for det lokale IP-net vil de forsøge at kommunikere med den pc som har den aktuelle IP-adresse, eftersom det er den forkerte pc, vil det naturligvis mislykkes.
Hvis man alligevel forestillede sig at computerne kommunikerede via gateway'en og kunne kontakte de rigtige enheder, ville der opstå en konflikt idet der nu eksisterede flere enheder med samme IP-adresser. Dette er ikke tilladt, og styresystemet vil straks advare om problemet. Hvis IP-adresser ikke er unikke, kan computere ikke finde ud af at bruge dem.