[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: router-konfiguration

Am Thu, Feb 06, 2003 at 01:57:20AM +0100 schrieb Frederik Fuest:

> > Ja, wenn Du auf deinem System einen DHCP-Server aufsetzt, so werden
> > solche Daten (Gateway-, DNS-, NIS-, Print- und sonstige Server)
> > distributiert.
> kann man denn dann trotzdem noch mit festen ip-s arbeiten (192.168.0.2
> für meinen Kollegen)?

Ja, sicher. Du koppelst die MAC an eine IP. 

Das macht der Switchport, von dem Du sprichst, so ähnlich, der koppelt 
die MAC an den Port. 
Bloß die Konsequenz ist dort ne andere. Ändert sich die MAC hinter
diesem Port, fällt der Port runter, und Du bekommst mindestens ne 
Gardinenpredigt, weil du an deinem Rechner gefummelt hast.

Das ist in den meisten AUPs ein Grund zur Abmahnung, wenn nicht
Kündigung.

> Eigentlich geht es mir ja nur darum, zu verstehen wie das funktioniert
> und um wieder einmal mehr zu staunen, was es eigentlich bedeutet wenn
> ich unter Windows ein einziges Häkchen setze. 

Probiere das lieber zu hause.
Ich als Netzwerkadministrator reagiere auf solche Versuche eher
ungehalten, weil das schwer zu debuggende Fehler verursacht.
	
> > > Kann mir vielleicht auch zufällig jemand versichern, dass die Pakete auf
> > > jeden Fall unter der physikalischen Adresse meiner Netzwerkkarte
> > > abgeschickt werden - sonst wird mein Port gesperrt!?
> > 
> > Solange Du deine MAC nicht änderst, ist das so.
> > Wenn Du maskierst, geht es auch mit deiner üblichen IP raus.
> warum sagst du unter der üblichen IP? Meinst du wirklich diese - oder
> die MAC? 

Hä? Die physikalische Adresse deines Systems ist die MAC-Adresse, sonst
nix.
IP-Adressen und ähnlicher Kram sind eine höhere Abstraktionsebene.

Das kannst Du auch sehen, wenn Du dir z.B. deinen arp-cache ansiehst,
dort wird die Zuordnung von ip auf MAC gespeichert:

,--------
| coredump:/etc/postfix# arp -v
| Address                  HWtype  HWaddress           Flags Mask Iface
| irc1.spielviel.de        ether   00:E0:7D:8C:E7:A4   C 		eth0
| forum.im-serverschrank.  ether   00:50:DA:0A:35:F9   C		eth0
| eg-r.isp-eg.de           ether   00:04:76:E6:70:D9   C		eth0
| trapper-acc.mind.de      ether   00:01:02:F6:82:8B   C		eth0
| trapper.mind.de          ether   00:01:02:F6:82:8B   C		eth0
| Entries: 5      Skipped: 0      Found: 5
`--------

Diese Einträge kommen zustande, wenn eine Verbindung zu einem anderen
Gerät aufgenommen werden soll. Dies kannst Du auch mit einem tcpdump
sehen:  

,--------
| tomatenfisch:~# tcpdump -n -i eth0 not port ssh
| tcpdump: listening on eth0
| 11:15:43.252603 192.168.50.111.1024 > 192.168.50.2.53:  54537+ A? xan.bln.linux-ag.de. (37) (DF)
| 11:15:43.253089 192.168.50.2.53 > 192.168.50.111.1024:  54537* 1/2/2 A 192.168.50.106 (150)
| 11:15:43.253917 arp who-has 192.168.50.106 tell 192.168.50.111
| 11:15:43.254228 arp reply 192.168.50.106 is-at 0:90:27:41:8f:42
| 11:15:43.254260 192.168.50.111 > 192.168.50.106: icmp: echo request (DF)
| 11:15:43.254487 192.168.50.106 > 192.168.50.111: icmp: echo reply
`--------

Dort passiert folgendes:
1. Auf tomatenfisch wird 'ping xan' eingegeben.
2. tomatenfisch fragt seinen dns-resolver, wer den xan sein will.
   Also: Anfrage an unseren Nameserver 192.168.50.2, Port 53 (DNS), 
   wer ist xan?
3. Der Nameserver antwortet: 192.168.50.106
4. Damit weiß tomatenfisch zwar die IP, aber noch nicht, wo dieser
   Rechner steckt. Er weiß nur, das er zum gleichen Netzwerksegment
   gehört (das kann er aus der eigenen Netzmaske und IP erkennen).
   Also fragt er, wer die MAC von xan kennt.
5. xan antwortet darauf selbst mit seiner MAC.
6. Jetzt erst haben die sich so sortiert, das das eigentliche Kommando
   losgehen kann, es wird gepingt, xan antwortet.

Wenn xan nicht zum gleichen Netz gehört, wird es etwas komplizierter:

,--------
| 11:20:41.432358 192.168.50.111.1024 > 192.168.50.2.53:  37070+ A? coredump.buug.de. (34) (DF)
| 11:20:41.503374 192.168.50.2.53 > 192.168.50.111.1024:  37070* 1/2/2 A 212.42.230.8 (132)
| 11:20:41.504112 arp who-has 192.168.50.4 tell 192.168.50.111
| 11:20:41.504264 arp reply 192.168.50.4 is-at 0:30:84:26:c0:76
| 11:20:41.504296 192.168.50.111 > 212.42.230.8: icmp: echo request (DF)
| 11:20:41.509368 212.42.230.8 > 192.168.50.111: icmp: echo reply
`--------

Hier erkennt tomatenfisch, das 212.42.230.8 nicht zu seinem Netz gehört, 
und fragt deshalb nach der MAC des Systems, das ihm als Router bekannt 
gegeben wurde, wenn er diese weiß, schickt er seine icmp-Anfragen an diesen, 
der Rest ist ihm egal, da muß sich der Router (und der Router dahinter
und der Router dahinter usw) kümmern.
Das heißt, jeder Rechner muß nur wissen, wo sein Router steht, das
reicht erstmal aus.

Genau aus diesem Grund ist es ziemlich behämmert, auf Firewalls icmp zu
sperren, denn die Fehlerkommunikation zwischen Netzhardware läuft in der
Regel via icmp.

Das war kurz und schmutzig, bitte nagelt mich nicht auf Details fest.
Den Rest liest Du bitte in den schon geschilderten HOWTOs nach.

Aleks
Reply to: