proxy arp und policy routing

Michael Schnupp michas at minet.uni-jena.de
Mit Sep 6 22:51:55 CEST 2006 

On Wed, 6 Sep 2006, Erik Heinz wrote:

> >         ,--- T
> >  N --- R
> >         '--- C
>
> [...]
>
> > In der einfachen Version bekommt R gar keine IP-Adresse, muss aber
> > (per Proxy-ARP) ARP-Anfragen richtig beantworten. - Da taucht im Prinzip
> > die obige Frage auf. (Man könnte da sicher noch schlimmere Szenarien
> > konstruieren.)
>
> Irgendeine IP(v4)-Adresse sollte das Interface schon haben. Die Frage ist,
> was verbirgt sich im Netz N? Im Normalfall wird R nur mit einem einzigen
> Router kommunizieren, dann braucht es kein proxy-arp, sondern eine
> simple Hostroute auf diesem Router.

In Netz N ist nichts ungewöhnliches. Ein geswitchtes LAN mit
nem Router (aka Defaultgateway) zur großen weiten Welt.

Solange man nicht (über das selbe Netz) direkt auf den Router zugreifen
muss braucht er keine eigene IP-Adresse. Das ist ja der Vorteil von
Proxy-Arp: Es arbeitet völlig transparent und man kann trotzdem Filtern
und ähnliche Spielchen machen.

Proxy-Arp braucht es, da er ja die eine Adresse durchreichen soll.
Ich klemm meinen Router nur vor der Computer um fürs Telefon ein
paar Ports umzubiegen. - Vom Netz her sieht alles wie ein einziger
Rechner aus. (Und der Computer bzw. die darauf laufenden Programme
bekommen im Gegensatz zur NAT-Version auch nichts davon mit, soll
heissen sind unter der offiziellen Adresse weiterhin direkt erreichbar.)

> > In der komplizierteren Version, soll man den Router auch noch (z.b. per
> > ssh) unter (natürlich wieder der selben) IP-Adresse erreichen können.
>
> Das wäre der klassische Anwendungsfall für NAT, sofern die betreffenden
> Protokolle unterstützt werden.

Das wäre sicher möglich, ich wollte aber schaun, ob es ohne auch machbar
ist. (Was auch problemlos gehen sollte, wenn man eben vor local-Tabelle
noch eingreifen könnte.)

> > da es wohl keine Chance gibt, noch irgend eine andere Regel
> > davorzuklemmen. :(
>
> Das nicht - aber iptables könnte helfen: in der mangle table gibt es ein
> target ROUTE. Laut IPTABLES(8) kannst Du damit das normale Routing umgehen.

Ok, danke, Das schau ich mir nochmal an. (Ich glaube aber mich vage daran
zu erinnern, dass da auch irgend ein Hacken war.)

-- 
Vision without action is a daydream,
but action without vision is a nightmare.