© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hi,
Andreas Braukmann schrieb:
> On Wed, Jan 15, 2003 at 08:56:39PM +0100, Patrick Hess wrote:
> > ich möchte gerne nur bestimmten Hosts Zugriff auf einen Server
> > geben und habe daher eine Filter-Regel eingefügt:
> >
> > ipfw add allow ip from desk8.hess.home to any via fxp0
> >
> > Leider wird der Hostname aber in die lokale IP-Adresse 192.168.0.8
> > umgewandelt.
> > Ich möchte jedoch gerne mit Hostnamen arbeiten.
>
> Tust Du doch?
Ja, ich habe den Hostnamen angegeben, in der Filterregel steht aber
zum Schluß nicht mehr der Hostname, sondern die entsprechende
IP-Adresse, die wird von IPFW umgewandelt. Darum ging es mir.
> > Diese
> > habe ich nämlich vorher mit `arp -s` auf eine bestimmte MAC-Adresse
> > "angekettet" und `arp` arbeitet ja nur mit Hostnamen.
>
> Huch? ARP (address resolution protocol) stellt die Verbindung
> zwischen IP-Adressen und Ethernet MAC Adressen her. Dass Du
> bei arp(8) auch Hostnamen auf der Kommandozeile angeben kannst
> faellt mehr oder weniger in die Kategorie "Bequemlichkeit".
Ich habe mal versucht, statt des Hostnamens eine IP-Adresse
anzugeben. `arp` präsentierte mir daraufhin die Syntax, in der
stand, daß ich doch bitte Hostnamen anzugeben habe. Also keine
Bequemlichkeit, sondern Notwendigkeit.
Daher dachte ich auch, `arp` arbeite nur mit Hostnamen und ich
müsse dieses nun auch bei der IPFW machen, damit das klappt. Aber
ich habe nun herausgefunden, daß der `arp` tatsächlich mit
IP-Adressen arbeitet und die IPFW das daher auch machen kann (siehe
meine Mail von vorhin).
> Du hast also keine Hostnamen an eine MAC "gekettet", sondern
> eine bestimmte MAC an eine IP-Adresse gebunden.
Das leuchtet mir jetzt so langsam ein ;-)
Wie gesagt, ich war etwas verwirrt, weil der `arp` unbedingt einen
Hostnamen auf der Kommandozeile wollte.
> > Wie kann ich nun der IPFW beibringen, nicht mit den IP-Adressen,
> > sondern mit dem in der Regel angegebenen Hostnamen zu filtern?
>
> ipfw ist ein IP Paketfilter; daher werden sich Filterkriterien
> auch nur an den Eigenschaften einzelner Pakete festmachen lassen;
> die Hostnamen der an der Kommunikation beteiligten Hosts gehoeren
> nicht dazu.
Gut, das geht dann also nicht. Ist ja nun auch nicht mehr wild.
> Aber vielleicht stellst Du mal Dein Szenario etwas genauer vor;
> vielleicht gibt es einen anderen Weg, das gewuenschte Ziel zu
> erreichen.
Ich möchte verhindern, daß irgendjemand irgendeinen Rechner ins
Netz hängt, ihm die "passende" IP gibt und dann auf unser Netz
zugreifen kann. Daher habe ich die Hostnamen an die MAC-Adresse
gebunden - dachte ich zumindest. Mittlerweile weiß ich ja, daß die
MAC an die IP-Adresse gebunden wird.
Also alles in Butter, die Sache funktioniert auch genauso, wie ich
das will. Wenn ich für das Notebook auf dem Server mit `arp` eine
"Phantasie-MAC" binde, kommt das Notebook nicht mehr auf den
Server. Nur wenn die mit `arp` zugewiesene MAC genau zu der
entsprechenden IP paßt, läuft hier überhaupt was.
Macht das Heimnetzwerk wieder ein klein bissel sicherer ;-)
Da können sich die Windows-Klickies erstmal die Zähne dran ausbeißen.
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 15 Jan 2003 - 22:11:48 CET