Router-Firewall selbst Bauen

• Das Gateway in eine Festung verwandeln
• Mit OpenVPN zwei Netzwerke verbinden
• Einen OpenWRT router installieren

In diesem Tutorial lernen wir zuerst einen Linux NAT Router mit Firewall und IP Masquerading für den Zugang über ein Kabel- oder DSL-Modem zu erstellen und dann optional zusätzliche Services, wie DNS, DHCP und Port-Forwarding zu aktivieren.

Einleitung

Dieses Tutorial möchte schritt für schritt erklären, wie man erst ein sicheres Linux System als Internet Gateway aufsetzt, als nächstes das Netzwerk mit dem Internet verbindet, grundsätzliche Router Funktionen aktiviert, eine Firewall mit IPTABLES konfiguriert und als letztes optional einen DHCP und DNS Server für die einfache Netzwerkverwaltung aufsetzt, sowie über Port Forwarding zusätzliche Dienste auf einem Zweitcomputer laufen lassen kann.

Dieses Tutorial ist in 3 Teile unterteilt:

1. Router / Firewall selbst Bauen
Hier lernen wir, wie man einen einfachen Router mit Firewall erstellt; wir installieren die nötige Software und Konfigurieren den Router und das Gateway.

2. Das Gateway in eine Festung verwandeln
Hier werden Konzepte erklärt um das Gateway zusätzlich abzusichern

3. Zusätzliche Services Installieren
Hier werden DNS, DHCP und zusätzliche Webserver über Port-Forwarding aufgesetzt.

Das Kapitel über DHCP, DNS und Port Forwarding ist optional, da es bereits ein (geringes) Sicherheitsrisiko darstellt und wenn immer möglich nicht auf der Firewall laufen sollte.

Dieses Tutorial lehnt sich an das sehr gute: Private Networks and Roadrunner using IP Masquerading von Mark Nielsen und Andrew Byrd (http://www.linuxgazette.com/issue51/nielsen.html) an, das leider mittlerweile etwas outdated geworden ist.

Voraussetzungen

Obwohl ich darauf geachtet habe das Tutorial so einfach wie möglich zu halten, muss ich voraussetzen, dass du Windows fortgeschritten beherrschst, Linux schon installiert hast und weisst wie man ein Netzwerk aufsetzt.
-Falls nicht, solltest du erst mal versuchen ein normales Netzwerk ohne Gateway und Firewall aufzusetzen.

Sinnvolle Lesevorbereitung

Folgende Informationen wären sinnvoll, aber nicht unbedingt nötig zu lesen, bevor man anfängt; sie vermitteln einem das Basiswissen über die vorgestellten Konzepte:

• Netzwerke - Grundsätzliche Informationen zu TCP/IP Netzwerken
• IP Masquerading
• Unix Security

Die Idee dahinter

Jeder schwarze Punkt im Bild oben stellt eine Netzwerkkarte dar und jede linie ist ein CAT5 Netzwerkkabel.
Wie man sieht, braucht es an jedem angeschlossenen Computer eine Netzwerkkarte und zwei Netzwerkkarten im Gateway.
Sinn und Zweck der ganzen Sache: Alle PCs sind im internen Netzwerk und haben keinen direkten Zugang zum Internet, sind also auch nicht direkt erreichbar.
Der Gateway Rechner ist dann der einzige, der direkten Zugang zum Internet hat und sämtlicher Internet-Verkehr muss über diesen -mit Firewall geschützten- Rechner laufen und stellt so die Mauer zwischen dem Netzwerk und der Aussenwelt dar.

Netzwerk-Überlegungen

Heutzutage macht es durchaus Sinn, wenn man sich auch im Heim-Bereich Gedanken über die Netzwerk-Topologie macht.

Beispielsweise wurde hier früher empfohlen ein Netzwerk 10.0.0.0/8 (subnetzmaske: 255.0.0.0) aufzubauen, doch dies birgt einen grossen Nachteil: Damit sind zwar über 16 Millionen Hosts möglich, aber kein einziges subnet mehr - Das dies zum Verhängnis werden kann, wenn man z.B. dann ein zweites Netzwerk aufbauen- und diese beiden mit einem VPN verbinden will, das musste auch der Autor dieses Artikels kürzlich feststellen.... ;-)

Für diesen Artikel definieren wir deshalb ein Klasse-A-Netzwerk (10.1.1.x/24) mit der Netzmaske: 255.255.255.0 - Natürlich kannst du aber auch einen anderen Netzwerkblock wählen, wenn du weisst was du tust. ;-)

Mit dem oben genannte Schema lassen sich 254 Hosts anschliessen (10.1.1.1 bis 10.1.1.254) und dürfte für die meisten Menschen mehr als genug sein. - Kommt dann ein zweites Netzwerk dazu, bekommt das das Netzwerk: 10.1.2.x, das dritte 10.1.3.x, usw.

- Praktisch zum Einsatz kommen kann das beispielsweise, wenn du momentan noch bei deinen Eltern wohnst; irgendwann aber ausziehen möchtest und das Netzwerk deiner Eltern mit dem deiner neuen Wohnung verbinden willst. -> Dieses Szenario wird ausführlich im Workshop: Mit OpenVPN zwei Netzwerke verbinden behandelt.

Als Domain Namen nahm ich hier: home.lan (der Domainname kann, muss aber nicht existieren) genommen.
Das Gateway heisst hier gateway.home.lan (Interne IP: 10.1.1.1) und die drei angeschlossenen Workstations heissen: pc01.home.lan (10.1.1.10), pc02.home.lan (10.1.1.20) und pc03.home.lan (10.1.1.30) -Es steht dir natürlich hier frei das ganze nach belieben mit mehr oder weniger PCs zu machen.

Auswahl der Hardware

Die Gateway Maschine braucht sehr wenig Ressourcen, es kann also auch ein alter 486-er mit relativ wenig Speicher sein; IP-Pakete zu Routen ist keine grosse Arbeit. Wenn Linux darauf laufen kann, sollte es auch mit dem anderen keine Probleme haben.
Als Gateway Rechner habe ich einen alten Dell mit 333 MHz, 128 MB RAM und 3 GB Festplatte genommen weil der grad rumstand. Aber nochmals: Es wird kein so leistungsfähiger Rechner für die Aufgabe gebraucht; ein Pentium 90 mit 16 MB RAM und 500 MB Harddisk tut’s längstens noch.

PCI Netzwerkkarten erleichtern einem enorm das leben, wobei man das heute eigentlich schon gar nicht mehr erwähnen muss, da es nur noch solche gibt.

Weiter braucht man noch ein HUB oder Switch, welcher ist aber relativ egal; ich setze auf einen Switch von 3COM.

Eine Tastatur und Monitor braucht’s nur während der Installation, da sich das Gateway später über SSH bequem vom PC aus "Fernwarten" lässt.

Software

Als Software für das Gateway nehmen wir hier ein aktuelles Debian Release. Grund: Debian ist schon von Haus aus sehr auf Sicherheit konzipiert und dazu extrem einfach zu handhaben.

Debian kann man entweder über das "net-inst" ISO, welches auf CD gebrannt wird über das Internet installieren, oder man lädt sich ein ISO der vollen CD. Die Internet Installation ist hier am komfortabelsten; dabei werden alle benötigten Komponenten direkt vom Internet runter geladen. Setzt natürlich voraus, dass das Gateway bereits am Internet angeschlossen ist... ;-)


Die Workstations können irgend ein TCP/IP basiertes Betriebssystem, solche wie Windows (95/98/ME/NT/2000/XP/...), Linux, MacOS, usw. sein. Es müssen nur alle eine lauffähige Netzwerkkarte eingebaut haben.

Linux System aufsetzen

Ein sicheres System beginnt als allererstes mit einer frischen, auf Sicherheit bedachten Installation!

Wir werden deswegen hier ein frisches Debian System mit nur den wichtigsten Komponenten installieren. Alles zusätzliche, wie X-Server, KDE/GNOME, FTP-Server, usw. birgt später ein Sicherheitsrisiko.


Bei der Installation von Debian einfach ENTER drücken und sich vom Assistenten leiten lassen; die Installation sollte mehr oder weniger selbsterklärend sein.

Nach der Sprachwahl, Tastatur, Einstellungen, usw. gelangt man zur Partitionierung ("Partition Disks")

Hier wählen wir: "Manually edit Partition Table".
Nachdem wir evtl. schon vorhandene Partitionen entfernt haben, erstellen wir neue nach diesem Schema:

__Partition       Minimum     % des totalen        Empfohlen__
/                   60 MB      10%                  100 MB
/boot               10 MB      10 MB                 30 MB
/home               10 MB      25%                   10 MB
/tmp                40 MB      10%                  100 MB
/usr               300 MB      45%                    1 GB
/var               100 MB      10%                  500 MB
swap                64 MB      2X RAM               128 MB

Hinweis: Das -ziemlich gross bemessene- 1GB für /usr habe ich einzig aus dem Grund gemacht, weil ich den Kernel neu kompilieren wollte, was sehr viel Platz auf /usr in Anspruch nimmt.
-Wenn man nicht vorhat sich irgendwann mal einen Kernel zu kompilieren, kann /usr auch kleiner sein.

Nachdem alles partitioniert ist, kommen wir zur Auswahl der Programm-Pakete.
Da es bei einem Firewall System essentiell ist, das darauf möglichst wenig läuft, lassen wir bei der Paketauswahl vorerst alles deaktiviert.

Falls während der Installation nach der Konfiguration der Netzwerkkarte(n) gefragt wird, wählen wir bei der ersten (eth0): "DHCP zugewiesene IP Adresse (DHCP)", bei der zweiten (eth1) ist als IP Adresse 10.1.1.1, als subnet mask 255.255.255.0 und als Standard Gateway 10.1.1.1 einzugeben; den Rest kann man bei den Standard werten belassen.
Hinweis: Falls nicht beide Netzwerkkarten erkannt worden sind, muss man nach der Installation die nicht erkannte(n) mittels Installation der Treiber so konfigurieren, dass sie lauffähig sind bevor man weitermacht; wer sich den ärger ersparen will, kauft für n paar Euro ne andere Netzwerkkarte die erkannt wird...

Dass das Passwort, dass man eingeben muss, sehr kompliziert sein soll, braucht wohl nicht extra erwähnt zu werden... ;-)

Konfiguration

Nach dem ersten Login auf dem gateway können wir mit der Konfiguration beginnen.
Erst werden wir die Netzwerkkarten überprüfen und ggf. konfigurieren, dann das Rounting aktivieren, Firewall und ggf. Port-Forwarding aufsetzen und zum schluss ein Firewall Script schreiben.

Netzwerkkarten

Erst müssen wir die Datei '/etc/network/interfaces' editieren.
Darin sollte stehen:

# Loopback network interface
auto lo
iface lo inet loopback

# External interface
auto eth0
iface eth0 inet dhcp

# Internal Interface
auto eth1
iface eth1 inet static
address 10.1.1.1
netmask 255.255.255.0
network 10.1.1.0
gateway 10.1.1.1

Firewall und IP Masquerading konfigurieren

Ping'e nun erst mal einige Server draussen um zu testen, ob die Internet Verbindung klappt.

Stelle nun sicher, dass alle Workstations und das Gateway am Switch angeschlossen sind. Das Kabel- oder DSL-Modem steckst du bei der ersten Netzwerkkarte im Gateway an (eth0). Die zweite Netzwerkkarte (eth1) wird wie die PCs mit dem Switch verbunden.
Gib nun dem ersten PC im Netzwerk die IP Adresse 10.1.1.10, dem zweiten 10.1.1.20, dem dritten 10.1.1.30, usw. Die Subnetz Maske ist immer 255.255.255.0 und das Standard Gateway 10.1.1.1.
Hinweis: Die DNS Server Adressen kannst du beim Provider raus finden, oder z.B. unter Windows durch Eingabe von

ipconfig /all

in der Konsole. (Start->Ausführen->"cmd" (Win 2000/XP) oder "command" (Win 95/98/ME) eingeben) -Dies natürlich bevor du die Konfigurationen an den Workstations änderst!.

Nun musst du noch das Konfigurationsscript für die Firewall erstellen.
Mittels Eingabe von

vi /etc/init.d/firewall

erstellst du die Firewall Start- und Konfigurationsdatei, die das Routing und die Firewall aktiviert.

In diese Datei gibst du folgende Zeilen ein:

#!/bin/sh

################################################################################
# Script Written by Steven Varco
#
# DESCRIPTION: Iptables ruleset for a Gateway
# CREATED: 29.03.2006
#
# CHANGE HISTORY:
# Date:       Author:         Description
# ===========================================================
#
################################################################################


################################################################################
# Set Init-Variables
################################################################################

IPTABLES="/sbin/iptables"

# Get the dynamic IP address assigned via DHCP
# and external interface name, save them to variables for easy use
EXT_IP="`/sbin/ifconfig eth0 | grep 'inet addr' | awk '{print $2}' | sed -e 's/.*://'`"
EXT_INTERFACE="eth0"

# Do the same for internal network name and interface
INT_IP="10.1.1.1"
INT_INTERFACE="eth1"
INT_NET="10.1.1.0/24"
INT_BROADCAST="10.1.1.255"


################################################################################
# Functions
################################################################################

RES_COL=60
MOVE_TO_COL="echo -en \\033[${RES_COL}G"
SETCOLOR_SUCCESS="echo -en \\033[1;32m"
SETCOLOR_FAILURE="echo -en \\033[1;31m"
SETCOLOR_WARNING="echo -en \\033[1;33m"
SETCOLOR_NORMAL="echo -en \\033[0;39m"

function echo_done()
{
  $MOVE_TO_COL
  echo -n "[ "
  $SETCOLOR_SUCCESS
  echo -n "DONE"
  $SETCOLOR_NORMAL
  echo " ]"
  return 0
}

function echo_ok()
{
  $MOVE_TO_COL
  echo -n "[  "
  $SETCOLOR_SUCCESS
  echo -n "OK"
  $SETCOLOR_NORMAL
  echo "  ]"
  return 0
}

function echo_warning()
{
  $SETCOLOR_WARNING
  echo -n "WARNING: "
  $SETCOLOR_NORMAL
  return 0
}



################################################################################
# Firewall section
################################################################################

start()
{
echo "Loading Firewall..."

# Turn forwarding on
echo 1 > /proc/sys/net/ipv4/ip_forward

#Delete all previous chains
$IPTABLES -F
$IPTABLES -X

#Deny all
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

# Enable loopback interface
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT

# Enable ICMP-Requests from LAN
$IPTABLES -A INPUT -i eth1 -s 10.1.1.0/24 -p icmp -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -d 10.1.1.0/24 -p icmp -j ACCEPT

# Enable restricted ICMP-Requests for outside
$IPTABLES -N icmp_rules
$IPTABLES -A icmp_rules -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A icmp_rules -p icmp --icmp-type echo-reply -j ACCEPT
$IPTABLES -A icmp_rules -p icmp --icmp-type destination-unreachable -j ACCEPT
$IPTABLES -A icmp_rules -p icmp --icmp-type source-quench -j ACCEPT
$IPTABLES -A icmp_rules -p icmp --icmp-type time-exceeded -j ACCEPT
$IPTABLES -A icmp_rules -p icmp -j DROP
$IPTABLES -A INPUT -i eth0 -j icmp_rules
$IPTABLES -A OUTPUT -o eth0 -j icmp_rules

# Open SSH Ports; port 22 only for authorized IPs, Port 922 for everyone

# Open SSH Ports; port 22 only for authorized IPs, Port 922 for everyone
# Work
$IPTABLES -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -s xxx.xxx.xxx.xxx -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -d xxx.xxx.xxx.xxx -j ACCEPT

# ALL OTHERS on Port 922
$IPTABLES -A INPUT -p tcp --dport 922 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 922 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Masquerade from local net on local interface to anywhere.
# This is the line that does all the work, most of the rest if the lines
# in this file are just for security reasons.
echo -n "Turning MASQUERADING on..."
$IPTABLES -t nat -A POSTROUTING -s $INT_NET -d 0/0 -o $EXT_INTERFACE  -j MASQUERADE

# Masquerading for all outgoing connection
$IPTABLES -t nat -A POSTROUTING -o $EXT_INTERFACE -j MASQUERADE


# TEMP: Allow full access to intertnal interface to get Windows XP online
$IPTABLES -A INPUT -i eth1 -s 10.0.0.0/8 -j ACCEPT
# Not Neccesairy
$IPTABLES -A OUTPUT -o eth1 -d 10.0.0.0/8 -j ACCEPT


echo_done


# Set Port-Forwarding
echo -n "Turning PORT FORWARDING on..."

# HINWEIS: Nachfolgend sind 2 Beispiele, eines für 
# Port-Forwarding über eine authorisierte IP und eines für generell
# port 21 to FILESERVER; restricted to IP: xxx.xxx.xxx.xxx/Firma (FTP-Server)
$IPTABLES -A FORWARD -i $EXT_INTERFACE -m state --state NEW -p tcp --dport 21 -s xxx.xxx.xxx.xxx -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p tcp -i $EXT_INTERFACE --dport 21 -s xxx.xxx.xxx.xxx -j DNAT --to 10.1.1.3

# port 80 to PC01 (Webserver)
$IPTABLES -A FORWARD -i $EXT_INTERFACE -m state --state NEW -p tcp --dport 80 -j ACCEPT
$IPTABLES -A PREROUTING -t nat -p tcp -i $EXT_INTERFACE --dport 80 -j DNAT --to 10.1.1.10


echo_done


# Deny and log IP-Spoofing
$IPTABLES -A FORWARD -s $INT_NET -i $EXT_INTERFACE -j LOG --log-level 6 --log-prefix "FIREWALL:spoofing"
$IPTABLES -A FORWARD -s $INT_NET -i $EXT_INTERFACE -j DROP

# Allow restricted forwarding
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i ! $EXT_INTERFACE -m state --state NEW -j ACCEPT

# Drop Samba/Windows Broadcats
$IPTABLES -A INPUT -p udp --dport 137:138 -i $EXT_INTERFACE -j DROP

#Log all what came throuh here
#$IPTABLES -A INPUT -j LOG --log-level 6 --log-prefix "FIREWALL:input"
#$IPTABLES -A FORWARD -j LOG --log-level 6 --log-prefix "FIREWALL:forward"
#$IPTABLES -A OUTPUT -j LOG --log-level 6 --log-prefix "FIREWALL:output"

echo

echo -n "Firewall Loaded!"
echo_ok
exit 0
}

stop() {

echo -n $"Firewall shutting down..."

#Delete Rules
$IPTABLES -F
$IPTABLES -X

#Default Policy Accept (allow all)
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

echo_ok
echo_warning; echo "Firewall is OFF!"

exit 0
}

reload()
{
  $0 stop
  $0 start
}

restart()
{
  # For security reasons stop external interface before reloading
  ifdown $EXT_INTERFACE
  sleep 2
  $0 stop
  # wait a couple of seconds for the firewall to finish closing down
  sleep 2
  $0 start
  sleep 2
  ifup $EXT_INTERFACE
}

status()
{
  $IPTABLES --list
}

help() {

#prints a short help

cat << HELP

This Script starts/stops an $IPTABLES-Based Firewall

Usage: firewall {start|stop|reload|restart|stealth|test|status|help}
Example: ./firewall reload

check the Firewall-Rules with
$IPTABLES --list

HELP
exit 0
}

case "$1" in
start) start ;;
stop) stop ;;
reload) reload ;;
restart) restart ;;
status) status ;;
help) help ;;
*)
echo $"Usage : $0 {start|stop|reload|restart|status|help}"
exit 1
esac
exit 0

#end of file

Speichere das ganze und verlasse den Editor.
Nun musst du die Datei noch ausführbar machen; folgender Befehl ist dafür zuständig:

chmod +x /etc/init.d/firewall

Starte nun das Script mittels:

/etc/init.d/firewall start

Der Internetverkehr ist nun sicher und du solltest mit allen PCs Zugang zum Internet haben!

Allerdings wird die Firewall noch nicht automatisch gestartet, so dass du bei jedem Neustart des Gateways diese wieder manuell starten müsstest.
Da dies ziemlich lästig ist, lassen wir die Dateien bei jedem Neustart automatisch über ein "rc.d-Startscript starten"; dieses ist vergleichbar mit dem Autostart-Ordner von Windows.

Musst du noch in jedem Runlevel-Ordner, in dem du die Firewall starten willst (rc2.d, rc3.d, rc4.d, rc5.d) einen Symlink zum Firewall-Startscript machen:

cd /etc/rc2.d/ && ln -s ../init.d/firewall S20firewall
cd /etc/rc3.d/ && ln -s ../init.d/firewall S20firewall
cd /etc/rc4.d/ && ln -s ../init.d/firewall S20firewall
cd /etc/rc5.d/ && ln -s ../init.d/firewall S20firewall

Starte nun Linux neu (

shutdown -r now

) und wenn du alles richtig gemach hast, solltest du jetzt sicher ins Internet kommen!

Abschliessend noch ein Hinweis zu Firewall-Konfigurationen, die den Server "unsichtbar" machen sollen, etwa durch das nicht zulassen von ping-signalen:
Das "unsichtbar machen" von Systemen bringt keine wirkliche sicherheit, da praktisch alle neuen würmer und cracker-tools einen request an den Zielrechner senden, egal ob dieser erreichbar ist, oder nicht. Profis hingegen können dennoch rauskriegen, ob dein System wirklich nicht existeiert oder einfach nur "versteckt" ist, da es gemäss der Struktur des Internets unmöglich ist ein system "unsichtbar" zu machen. Das ignorieren von pings macht zudem die fehleranalyse nur unnötig kompliziert und ist auch von der sicherheits-szene verpönnt.

Fernwartung des Gateways

Als letztes musst du nun noch deinen PC so einrichten, dass du ihn über SSH Fernwarten kannst.
Lade dir dafür unter: http://www.chiark.greenend.org.uk/~sgtatham/putty/ das Programm PUTTY herunter. Wenn du dieses dann startest, musst du folgendes eingeben:

__Hostname __: 10.1.1.1
__Protocol __: SSH

mittels OPEN verbindest du dich dann mit deinem Gateway und kannst dich ganz normal einloggen.

Zusätzliche Services Installieren

Das aufsetzen von zusätzlichen services wurde nicht ohne Grund bis zum Schluss aufgehoben; denn es stellt ein gewisses Sicherheitsrisiko dar auf dem selben Rechner wie die Firewall noch was anderes wie z.B. DNS-Server laufen zu lassen.
Idealerweise sollte deswegen der DHCP und DNS Server auf einem seperaten Rechner hinter der Firewall drauf sein. -Da dies allerdings den Rahmen vieler Benutzer sprengt und es auch nicht ein sehr grosses Risiko ist, werden wir hier den DHCP- und DNS-Server auf das Gateway installieren und wer nicht auf den zusätzlichen Konfort verzichten will, kann dies auch so machen. Aber nochmals: Wenn möglich, ist es besser diese Server auf einem seperaten standalone Rechner zu haben. Auf keinem Fall sollte ausser SSH, DNS und DHCP noch etwas anderes, wie beispielsweise web- und mail-server darauf laufen; diese gehören definitv auf einen drittrechner.

Das Tutorial geht in diesem Falle bei Zusätzliche Services Installieren weiter.



Falls du noch interessiert bist dein Gateway noch zusätzlich abzusichern, liess den zweiten Teil: Das Gateway in eine Festung verwandeln .

Related Pages

• Das Gateway in eine Festung verwandeln
• Mit OpenVPN zwei Netzwerke verbinden
• Einen OpenWRT router installieren

Related Links

Link	Beschreibung
Building a Secure Gatway System By Chris Stoddard	Chris Stoddard hat auf dieser Seite sehr gut beschrieben, wie man ein sicheres Linux-System aufsetzt; viele Informationen in disem Tutorial stammen von ihm
Private Networks and Roadrunner using IP Masquerading	Dies war das Tutorial, bei dem ich angefangen habe mein Gateway aufzusetzen! Leider sind die Informationen darauf etwas veraltet; dieses Tutorial hier ist eine neu-adaption des Tutorials von Mark Nielsen und Andrew Byrd
Netzwerke - Grundsätzliche Informationen zu TCP/IP Netzwerken
Unix Security
IP Masquerading
Setting up a simple Debian gateway auf debian-administration.org	Ein kleines, aber feines Tutorial zum schnellen Aufsetzen eines einfachen Routing-Gateways unter Debian

---