Injoy: IP masquerading met OS/2

> OS/2 net index <

Hieronder ziet u een alternatief inbelprogramma voor OS/2: Het shareware programma Injoy - Best way to the internet. De hier besproken Extended Client maakt deel uit van eComStation .


Ik gebruik de InJoy Extended client version al weer enige jaren en het programma doet zijn naam eer aan: Injoy is een genot. Een internetconnectie is onder het "moeilijke" OS/2 met Injoy zo gemaakt. Dat was destijds de reden dat ik het aanschafte. Injoy is bovendien veelzijdig en snel.

Je hebt als OS/2 gebruiker geen gebedel bij een helpdesk nodig, want het programma zoekt met de optie learn zelf het best passende inbelscript. Eenmaal gevonden zet je "learn" uit. De documentatie is voortreffelijk. Een voordeel van shareware is bovendien dat je het programma eerst op je internet provider(s) uitproberen kunt voordat je het aanschaft. En bestaat er een betere ondersteuning dan die onder auspiciën van de auteur? Nee, ik heb het nu niet over Bill Gates.

De homepage van Injoy ontwikkelaar: http://www.fx.dk. Als het u bevalt kunt u het programma onder andere via Mensys laten registreren.

Met de opties dial on demand en timeout wordt de telefoonlijn alleen gebruikt als ik hem nodig heb. Injoy sluit de verbinding zelf af als de PPP verbinding wegzakt.

Network Address Translation

De geregistreerde Extended editie van Injoy zorgt voor Network Address Translation (NAT), een vorm van IP masquerading. Hiermee kunnen computers op een lokaal netwerk de internettoegang met de OS/2 PC delen zonder dat ze vanaf het internet te zien zijn.

NAT geeft alleen Internet Protocol clients (Netscape, ICQ, FTP en mail clients) toegang tot het internet. De servers achter de IP masquerading zijn voor de buitenwacht (interne) niet te zien.

In Injoy kun u ervoor kiezen om de Network Address Translation voor de met het internet verbonden OS/2 PC aan (veilig) of uit (nodig voor servers) te zetten. Zo zal sendmail met NAT aan wel post naar het internet kunnen versturen (als smtp client), maar niet van het internet kunnen ontvangen. Door NAT zijn de poorten onbereikbaar. Maar de post ophalen via een smtp, pop3 of imap client kan natuurlijk wel.

U kunt dit testen bij Steve Gibson: Shield Up!

Attempting connection to your computer...
Shields UP! is now attempting to contact the Hidden Internet Server within your PC. It is likely that no one has told you that your own personal computer may now be functioning as an Internet Server with neither your knowledge nor your permission. And that it may be serving up all or many of your personal files for reading, writing, modification and even deletion by anyone, anywhere, on the Internet!
Please Note: On highly secure systems this may take up to one minute...

Een ingebouwde identd server zorgt ervoor dat de gebruikers van het LAN zich tijdens het chatten kunnen identificeren (hoewel alle transacties via de OS/2 PC verlopen). De servers op het LAN zijn niet via de netwerk adres vertaling te bereiken. Dat maakt NAT een veilige manier om te internetten.

Your Internet port 139 does not appear to exist!
One or more ports on this system are operating in FULL STEALTH MODE! Standard Internet behavior requires port connection attempts to be answered with a success or refusal response. Therefore, only an attempt to connect to a nonexistent computer results in no response of either kind. But YOUR computer has DELIBERATELY CHOSEN NOT TO RESPOND (that's very cool!) which represents advanced computer and port stealthing capabilities. A machine configured in this fashion is well hardened to Internet NetBIOS attack and intrusion.



Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Een Injoy Firewall is als module verkrijgbaar. Deze kan ook poorten voor servers op het LAN beschikbaar stellen. Voor kabelmodem en ADSL gebruikers heeft F/X Communications aparte Firewall oplossingen. Een andere oplossing is ISDN PM: deze werkt niet alleen met ISDN, maar ook met T-DsL (PPPoE).

Voor het delen van de internettoegang op het LAN is dus geen Internet Connection Sharing (ICS) van Windows 98 2dEd of Wingate op een snelle Pentium processor nodig. Omdat Injoy in tekstmodus werkt, volstaat een afgedankte 386/486 OS/2 PC met 8 MB RAM als gateway (router) naar het internet. Natuurlijk is TCP/IP nog wel nodig. Onder DOS en Linux is zoiets ook wel te bereiken, maar met de hardware verslindende GUI van Windows ME niet.

Mijn "internet grootverbruikers" zijn de onder Linux draaiende WWW en FTP proxy server WWWoffle en de nieuwsserver Leafnode. Ze zijn alleen vanaf het LAN te benaderen. Ze zorgen voor een grote (2 gig) cache van mijn favoriete WWW URL's en nieuwsgroepen. Dit geeft niet alleen een versnelling van de toegang tot het internet, maar belangrijker is dat ik mijn favoriete sites offline kan lezen. Een site hoeft maar eenmaal bezocht te zijn en is daarna onder ieder OS en met iedere browser in de proxy van de Linux server te vinden.

De netwerkconfiguratie is simpel. Alles wat u hoeft te doen is een simpel TCP/IP netwerk op te zetten.

Op mijn netwerk is de OS/2 draaiende PC als router geconfigureerd. Vink hiervoor de knop IP doorsturen (IP forwarding) aan. Een Linux draaiende PC biedt het het LAN serveerdiensten aan: WWW proxy/cache, SMTP server, IMAP server (handig!!), NNTP server en samba en NFS als bestanden serveerders. De internetdiensten zijn voor offline gebruik. Maar online gaat het ook sneller met een gigabyte grote proxy cache. De toegang tot het internet verloopt via een multiboot PC (OS/2, Win2k, Linux en BEOS) waarbij de IP pakketjes via het netwerk bij de Linux server komen.

Internet

Gateway ISP

<- - ppp0 - - >

via Injoy

OS/2 als router

194.159.73.121 ppp0

visser

192.168.1.10 eth0

<=== LAN ===>

192.168.1.0

zolder

192.168.1.20 eth0

laptop

192.168.1.21 eth0

De ppp0 interface heeft als standaard (default) route de gateway van mijn provider. Alle IP datagrammen met niet lokale bestemming gaan daar heen. Dat is normaal. Dit regelt Injoy (onder DOIP zou u dezelfde routing zien).

[I:\]netstat -r

bestemming router netmasker refcnt gebruik vlaggen snmp intrf
decimaal
standaard 194.159.73.222 0.0.0.0 1 5035 UG 0 ppp0
127.0.0.1 127.0.0.1 255.255.255.255 1 484 UH 0 lo
192.168.1.0 192.168.1.10 255.255.255.0 0 0 U 0 lan0
192.168.1.20 192.168.1.10 255.255.255.255 5 2236 UH 0 lan0
192.168.1.21 192.168.1.10 255.255.255.255 0 1 UH 0 lan0
194.159.73.222 195.173.244.121 255.255.255.255 1 6 UH 0 ppp0

Hieronder een netstat -r tijdens dial on demand. Op dit moment is de telefoonverbinding verbroken. Injoy brengt tijdelijk een dial on demand interface (dod) als default route (standaard) aan.

[I:\]netstat -r

bestemming router netmasker refcnt gebruik vlaggen snmp intrf
decimaal
standaard 111.222.111.0 0.0.0.0 0 0 UG 0 dod
111.222.111.0 111.222.111.0 255.255.255.255 1 0 UH 0 dod
127.0.0.1 127.0.0.1 255.255.255.255 1 484 UH 0 lo
192.168.1.0 192.168.1.10 255.255.255.0 0 0 U 0 lan0
192.168.1.20 192.168.1.10 255.255.255.255 5 2652 UH 0 lan0
192.168.1.21 192.168.1.10 255.255.255.255 0 1 UH 0 lan0

En Injoy tijdens dial on demand:


En de routing van Linux op zolder. In dit geval is OS/2 PC dus de gateway computer van Linux . Maar omdat de proxy servers weer op Linux draaien is er het nodige netwerkverkeer.

sjoerd@zolder:~ > netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
thuis * 255.255.255.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default visser.thuis 0.0.0.0 UG 0 0 0 eth0
sjoerd@zolder:~ > /sbin/route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.10 0.0.0.0 UG 0 0 0 eth0
sjoerd@zolder:~ >

Hier is de OS/2 computer "visser" (192.168.1.10) op het netwerk/ domein "thuis" (192.168.1.0) dus de Gateway van Linux (192.168.1.20).