[fli4l] 3.6.2 - Problem mit dem Paketfilter

Christoph Schulz fli4l at kristov.de
Mi Mär 12 16:22:50 CET 2014


Hallo!

Stefan Puschek schrieb:

>> Wie soll das gehen wenn dynamische und statische IP's im gleichen Netz
>> hängen? Die kommunizieren munter an deinem Router vorbei miteinander.
> 
> IP_NET_1='192.168.6.1/24'      # IP address of your n'th ethernet card and
>                                # netmask in CIDR (no. of set bits)
> IP_NET_1_DEV='eth0'            # required: device name like ethX
> IP_NET_2='192.168.5.1/24'      # IP address of your n'th ethernet card and
>                                # netmask in CIDR (no. of set bits)
> IP_NET_2_DEV='eth0'            # required: device name like ethX
> [...]
> klappt seit Jahren

Das ist aber eine Scheinlösung.

Dein 192.168.5.0/24-er Client muss seiner Netzwerkschnittstelle einfach eine 
beliebige 192.168.6.0/24-Adresse hinzufügen, dann war's das mit der 
"Sicherheit". Umgekehrt geht's natürlich auch. Es sei denn, du kannst 100%-
ig ausschließen (wie?), dass jemand auf deinen Clients Administratorrechte 
hat.

Sicherheit hast du _nur_, wenn dein Router zwei physisch getrennte 
Schnittstellen in unterschiedlichen Netzen hat, zwischen denen wirklich 
geroutet wird. ("Physisch" würde hier somit auch den Gebrauch von VLANs 
verbieten, weil der Client dies auch "faken" könnte.) Alle Clients des einen 
LANs müssen dann an den einen Port des Routers und alle Clients des anderen 
LANs an den anderen Port. In allen anderen Fällen lässt sich dein "Schutz" 
locker aushebeln.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L