Re: IPFW-Regeln mit Hostnamen

On Wed, Jan 15, 2003 at 10:01:12PM +0100, Patrick Hess wrote:
> > Huch? ARP (address resolution protocol) stellt die Verbindung
> > zwischen IP-Adressen und Ethernet MAC Adressen her. Dass Du
> > bei arp(8) auch Hostnamen auf der Kommandozeile angeben kannst
> > faellt mehr oder weniger in die Kategorie "Bequemlichkeit".
>
> Ich habe mal versucht, statt des Hostnamens eine IP-Adresse
> anzugeben. `arp` präsentierte mir daraufhin die Syntax, in der
> stand, daß ich doch bitte Hostnamen anzugeben habe.

huch?
| zappa:[/home/ab] # arp -s 192.168.225.11 00:80:c8:b9:38:cf
| zappa:[/home/ab] # arp 192.168.225.11
| dumpfbacke (192.168.225.11) at 00:80:c8:b9:38:cf on dc1 permanent [ethernet]
| zappa:[/home/ab] # arp -d 192.168.225.11
| 192.168.225.11 (192.168.225.11) deleted

und nun dasselbe mit dem Hostnamen:
| zappa:[/home/ab] # arp -s dumpfbacke 00:80:c8:b9:38:cf
| zappa:[/home/ab] # arp dumpfbacke
| dumpfbacke (192.168.225.11) at 00:80:c8:b9:38:cf on dc1 permanent [ethernet]
| zappa:[/home/ab] # arp -d dumpfbacke
| dumpfbacke (192.168.225.11) deleted

Hier funktionieren beide Wege.

> Daher dachte ich auch, `arp` arbeite nur mit Hostnamen und ich
> müsse dieses nun auch bei der IPFW machen, damit das klappt. Aber
> ich habe nun herausgefunden, daß der `arp` tatsächlich mit
> IP-Adressen arbeitet und die IPFW das daher auch machen kann (siehe
> meine Mail von vorhin).

Auch beim ipfw sind die Hostnamen nur syntaktischer Zucker.
Wenn man auf Hostnamen filtern wollte, muesste man ja de
facto fuer jedes eintrudelnde Paket einen reverse dns lookup
machen. Das waere theoretisch zwar sicher moeglich, duerfte
aber wenig sinnvoll sein.
Wenn Du *Dienste* (also nicht "Pakete") Host-/Domainnamen-
basiert filtern willst, bieten sich die Dienste der "libwrap"
(TCP Wrapper) an. Die Konfiguration erfolgt in /etc/hosts.allow
und wird von allen Applikationen, die gegen libwrap gelinkt
sind, ausgewertet (=> hosts_access(5), hosts_options(5)).
Das gilt zum Beispiel auch fuer einen mit "-w" (fuer externe
Dienste) oder "-W" (fuer interne Dienste) gestarteten inetd
(=> inetd.conf(5), inetd(8)).

> > ipfw ist ein IP Paketfilter; daher werden sich Filterkriterien
> > auch nur an den Eigenschaften einzelner Pakete festmachen lassen;
> > die Hostnamen der an der Kommunikation beteiligten Hosts gehoeren
> > nicht dazu.
>
> Gut, das geht dann also nicht. Ist ja nun auch nicht mehr wild.

siehe oben.

> > Aber vielleicht stellst Du mal Dein Szenario etwas genauer vor;
> > vielleicht gibt es einen anderen Weg, das gewuenschte Ziel zu
> > erreichen.
>
> Ich möchte verhindern, daß irgendjemand irgendeinen Rechner ins
> Netz hängt, ihm die "passende" IP gibt und dann auf unser Netz
> zugreifen kann.

Das kannst Du so aber nicht (zuverlaessig) verhindern.

> Macht das Heimnetzwerk wieder ein klein bissel sicherer ;-)
> Da können sich die Windows-Klickies erstmal die Zähne dran ausbeißen.

Och noe. Man schaut in den Netzwerkkarten-Eigenschaften-Dialog
und stellt sich eine passende MAC zur IP-Adresse ein.
Anschliessend muss man nur noch dafuer sorgen, dass der "boese"
Eindringling "schneller" reagiert als der "gute" Rechner, dem
man die zulaessige IP/MAC-Kombination geklaut hat.
Wenn Du zusaetzlich fuer "physikalische" Port-Sicherheit sorgen
kannst, bist Du ein Schritt weiter. (Dein Switch und das Patch-
feld sind fuer den Eindringling *unzugaenglich*; und der Switch
akzeptiert auf seinen Ports nur jeweils als zulaessig konfigu-
rierte MAC-Adressen. Dann muss schon Triple aus MAC, IP und
Switch-Port stimmen.)

Ich vermute, dass Du in naechster Zeit das ein oder andere Werk
zum Thema Netzwerke lesen moechtest ;-)

-Andreas

-- 
sick nature.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message