PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : IP-Adressenzuordnung



Lauchhammer
11.02.13, 09:50
Hallo alle zusammen,
eine treffendere Überschrift ist mir im Moment nicht eingefallen, aber jetzt zu meiner Frage.
Ich habe eine Rechner mit zwei Netzwerkkarten mit jeweils zwei Ports. War eigentlich nicht so vorgesehen, ist jetzt aber so. Nun möchte ich die Ports auch nutzen, um bestimmten Rechnern den Zugriff über eine dem jeweiligen Port zugeordnete statische IP-Adresse zu gewähren. Das soll heißen, dass Rechner A nur den Zugriff über die IP-Adresse xyz haben soll. Der IP-Adressbereich soll gleich bleiben, also keine verschiedene IP-Bereiche. Ich habe allen Ports der Netzwerkkarten eine statische IP vergeben.

Auf Viernetzwerkportrechner läuft Samba und stellt Freigaben für die anderen Rechner zur Verfügung. Jetzt habe ich Rechner A die Sambafreigaben mittels Netzwerkverbindungen (Windows7 Rechner) eingerichtet und habe die IP-Adresse 192.168.1.213 genommen. Die anderen IP-Adressen des Servers lauten 192.168.1.2, 192.168.1.202, 192.168.1.222. Ich habe auch einfache Verknüpfungen auf dem Windowsrechner auf dem Desktop abgelegt und immer die IP-Adresse 192.168.1.213 benutzt. Jetzt habe ich festgestellt, dass auf dem Server der gesamte Netzverkehr über den Port der Adresse 192.168.1.2 läuft, obwohl in den Verknüpfungen der Port 192.168.1.213 angegeben wurde.

Ein anderer Rechner nutzt in seinen Verknüpfungen die IP-Adresse 192.168.1.202, aber wie oben schon beschrieben, es läuft der gesamte Netzverkehr über 192.168.1.2. Das Ganze ist nicht so dramatisch, aber ich wollte gern sehen, welcher Rechner den meisten traffic erzeugt.

Wie bekomme ich das hin, dass Rechner XYZ nur über eine IP-Adresse Zugriff hat?

Noch schnell erwähnt: OS ist centos 6.3, der Switch ist ein SMCGS24C-Smart (an dem nichts weiter konfiguriert ist außer die eigene statische IP)

Grüße aus dem Norden
Harry

nopes
11.02.13, 09:57
iptables, mehr braucht es nicht

Lauchhammer
11.02.13, 10:40
iptables. Ja, könnte ich mir vorstellen. Das würde heißen, ich müsste mir eine Regel zusammenklöppeln die besagt: Rechner XYZ darf nicht über Port (Netzwerkschnittstelle) 192.168.1.202 zugreifen. Was wieder heißt, ich müsste an drei Ports den Rechner XYZ sperren. Das ganz große Problem ist, wie mache ich das mit iptables? Bisher habe ich nur Ports, als z.B. Port 22 oder den Port für webmin, freigegeben oder gesperrt. Eine Netzwerkschnittstelle bzw den Netzwerkport einer Karte noch nicht. Aber gut, muss ich mich mal in iptables etwas tiefer einlesen.

Aber warum wird eine "Anfrage" an die IP-Adresse 192.168.1.213 am Server durch die IP-Adresse 192.168.1.2 beantwortet. Das verstehe ich noch nicht ganz.

Grüße
Harry

nopes
11.02.13, 11:03
Wie auch immer dein Regelwerk aussehen mag, in deinen Fall gilt bzw. reicht es die Regeln hier rein zu drücken, wobei es reicht -i oder -s, sowie -o oder -d anzugeben, es müssen also nicht alle rein:

iptables -A <chain> -i <iface> -o <iface> -s <address> -d <address> -j <target>Beispiel:
iptables -A INPUT -i eth0 -d 192.168.1.2 -j ACCEPT
Pseudo mäßig:
1. Verbiete alles
2. erlaube iface eine Verbindung zum gewünschten Ziel

Ich würde also -i und -d nutzen, wenn man sich die man zu iptables ansieht steht dort:

[!] -s, --source address[/mask][,...]
Source specification. Address can be either a network name, a
hostname, a network IP address (with /mask), or a plain IP
address. Hostnames will be resolved once only, before the rule
is submitted to the kernel. Please note that specifying any
name to be resolved with a remote query such as DNS is a really
bad idea. The mask can be either a network mask or a plain num‐
ber, specifying the number of 1's at the left side of the net‐
work mask. Thus, a mask of 24 is equivalent to 255.255.255.0.
A "!" argument before the address specification inverts the
sense of the address. The flag --src is an alias for this
option. Multiple addresses can be specified, but this will
expand to multiple rules (when adding with -A), or will cause
multiple rules to be deleted (with -D).

[!] -d, --destination address[/mask][,...]
Destination specification. See the description of the -s
(source) flag for a detailed description of the syntax. The
flag --dst is an alias for this option.

-j, --jump target
This specifies the target of the rule; i.e., what to do if the
packet matches it. The target can be a user-defined chain
(other than the one this rule is in), one of the special builtin
targets which decide the fate of the packet immediately, or an
extension (see EXTENSIONS below). If this option is omitted in
a rule (and -g is not used), then matching the rule will have no
effect on the packet's fate, but the counters on the rule will
be incremented.

[!] -i, --in-interface name
Name of an interface via which a packet was received (only for
packets entering the INPUT, FORWARD and PREROUTING chains).
When the "!" argument is used before the interface name, the
sense is inverted. If the interface name ends in a "+", then
any interface which begins with this name will match. If this
option is omitted, any interface name will match.

[!] -o, --out-interface name
Name of an interface via which a packet is going to be sent (for
packets entering the FORWARD, OUTPUT and POSTROUTING chains).
When the "!" argument is used before the interface name, the
sense is inverted. If the interface name ends in a "+", then
any interface which begins with this name will match. If this
option is omitted, any interface name will match.Hope that helps.

Lauchhammer
11.02.13, 12:00
OK. Das ist jetzt mein Versuch:

ich habe in /etc/sysconfig/iptables die Zeile

-A INPUT -s 192.168.1.4/24 -i em1 -j DROP

eingefügt. Jetzt sollte doch eigentlich der Zugriff vom Rechner mit der IP-Adresse 192.168.1.4 über die Netzwerkkartenschnittstelle em1 gesperrt sein. War zumindest meine Idee, is aber nich so. Der Zugriff funktioniert immer noch und wenn ich mir den Datenverkehr anschaue, geht er genau über diese Schnittstelle die eigentlich gesperrt sein sollte. :confused:

Ja nö, wie jetzt?

nopes
11.02.13, 12:07
Hi,

du musst dein Regelwerk in gänze ansehen, es nutzt ja nichs, wenn diese Zeile am Ende steht und eine vorherige Regel genau das erlaubt.
iptables -nvLZeigt dir alle Regeln an, dann Bleistift Admin und nachvollziehen, wo es schief geht. So gesehen ist mein Pseudo-Code auch falsch bzw. gehört genau anders rum.

Lauchhammer
11.02.13, 14:44
Jetzt erst einmal vielen Dank für Deine Tipps. Das durchtesten der iptables muss im Moment etwas warten, habe gerade was anderes zu tun.

Was mich aber stutzig macht ist, wenn ich von einem Windowsrechner per network scanner den IP-Bereich scanne, dann werden alle IP-Adressen des Sambaservers gefunden, also die 192.168.1.2; .202; .213, aber sie haben alle die gleiche MAC-Adresse. Irgend etwas ist doch da merkwürdig. Es ist auch die MAC-Adresse des Netzwerkportes, über denn der gesamte traffic läuft.

Muss ich mir noch mal alles in Ruhe anschauen.

Grüße

Harry

marce
11.02.13, 14:55
ein Server mit mehreren IPs im gleichen Netz ist, wenn man nicht weiß, was man tut, keine gute Idee...

Daß der ausgehende Traffic immer über die gleiche Karte / Port / Adresse läuft dürfte mit dem Routing zusammenhängen...

Lauchhammer
11.02.13, 15:18
Hallo marce,

ein Server mit mehreren IPs im gleichen Netz ist, wenn man nicht weiß, was man tut, keine gute Idee...


Ja, is ja nur im Heimnetz zum basteln, man will ja auch mal was ausprobieren. Und da passt doch Deine Signatur,

Ich bin root - ich darf das
, hervoragend dazu :D

Grüße
Harry

marce
11.02.13, 15:56
naja, solange Du nicht in den Bereich kommst "das ist Spezifikation, das geht nicht"...