Hallo! Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen. Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht. Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen? MfG, Marc Mc Guinness
Hi Marc, On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser noch mit iptables? mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Am Donnerstag 13 Dezember 2001 16:07 schrieben Sie:
Hi Marc,
On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Wo das maximum ist weiß ich auf anhieb nicht, aber eine lösung wäre das nicht, da damit nicht verhindert wird wird, daß ein anderer Rechner sich mit der selben IP in das Netz hängt. Ausschlaggebent für die Kommunikation ist nur welcher Rechner dann auf einem ARP-Request als erster mit seiner MAC-Adresse antwortet. Eine andere Lösung als einen entspr. Switch sehe ich nicht. Dort kannst Du dann festlegen welche MAC-Adressen an welchem Port erlaubt sind.
Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser noch mit iptables?
Mirko -- +--[ Mirko Richter (RHCE) ]------------------------+ | Networks & Communicationsystems | | Ernst-Thaelmann-Str. 5, D-06774 Soellichau | | E-MAIL: m.richter@ngi-box.de | | Tel. +49/(0)34243/3369-50 \\\\ | | Fax. +49/(0)34243/3369-28 (O O) | +-----------------------------------oOOo-(_)-oOOo--+
Hallo! Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
Hi Marc,
On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser noch mit iptables?
Inwiefern kann mir das helfen? Da habe ich jetzt Verständnisschwierigkeiten... Subnetting und iptables können verhindern, daß sich Rechner unerlaubt im Netzwerk "bewegen" können? iptables ... ok, aber dazu müsste ich alle 5 Switches in einem Rechner mit iptables enden lassen. Dann könnten sich aber dennoch unerlaubte Rechner innerhalb der 24 Ports des Switches frei "bewegen". Übrigens wird sich kein Nameserver in dem Netz befinden. Wir brauchen nämlich eine gewissen Sicherheit, daß sich niemand unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90 Rechner in den DNS eingetragen werden und schließlich sind da noch andere Dinge, um die wir uns kümmern müssen (Stromversorgung, Netzwerkverkabelung, etc.). Kannst Du das bitte Deinen Vorschlag mit iptables und subnetting näher erläutern? MfG, Marc Mc Guinness
Hi Marc, On 14 Dec 2001 at 8:21, Marc Mc Guinness wrote:
Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Ich denke mal nein, darüber hinaus wäre das auch kein geeigneter Schutz. IIRC, stolpert Yast dann auch ghörig. Aber das ist auch gar nicht notwendig. Wie wäre es denn mit subnetting? Oder besser noch mit iptables?
Inwiefern kann mir das helfen? Da habe ich jetzt Verständnisschwierigkeiten...
Subnetting und iptables können verhindern, daß sich Rechner unerlaubt im Netzwerk "bewegen" können? iptables ... ok, aber dazu müsste ich alle 5 Switches in einem Rechner mit iptables enden lassen. Dann könnten sich aber dennoch unerlaubte Rechner innerhalb der 24 Ports des Switches frei "bewegen".
Übrigens wird sich kein Nameserver in dem Netz befinden. Wir brauchen nämlich eine gewissen Sicherheit, daß sich niemand unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90 Rechner in den DNS eingetragen werden und schließlich sind da noch andere Dinge, um die wir uns kümmern müssen (Stromversorgung, Netzwerkverkabelung, etc.).
Mein Vorschlag beruhte auf der Annahme das der Server das routing übernimmt und alle Rechner über den Server kommunizieren. Die von Dir jetzt dargestellte Situation ist aber eine Andere. So wird Dir weder subnetting noch iptables helfen können. Deinen weiteren Mails konnte ich entnehmen das das eine LAN Party wird. Herzlichen Glückwunsch. Ich hoffe Dir ist bewusst was Du da machst. 1.) Die Bekanntgabe einer LAN Party ist eine Einladung an jeden Cracker. Überleg mal, wo stehen sonst so viele 'offene' Maschinen rum. Erst hier macht das installieren von Trojanern richtig Spaß. Naja, und wenn dann noch auf dem Server eine Backdoor installiert ist, kann man ja noch ein wenig zocken. Ein Fest sozusagen. 2.) Falls Du glauben solltest, ich las das in einer anderen Mail, es würde für jemanden ein Problem darstellen IP-Adresssen zu spoofen oder MAC-Adressen, weit gefehlt. Dafür gib's 1A Tools, gerade für die komfortablen M$ OS'e. Selbst mein Sohn (8) kann damit umgehen. Was Du benötigst ist ein vernünftiger switch, oder einen Router. Also auf jeden Fall eine zentrale Stelle an der eine Überwachung stattfinden kann. Fehlende IP-Adressen sind aber auch nicht Ansatzweise ein Schutz. Ich hoffe Du bekommst keine Probleme, und hoffentlich Deine user auch nicht. mit freundlichen Grüßen Jörg Zimmermann ------------------------------------------- .xsiteing agentur für netzkommunikation 42117 wuppertal - friedrich-ebert-str. 141b tel: 0202/3097070 - fax: 0202/3097072
Hallo Jörg! Am Freitag, 14. Dezember 2001 14:09 schrieb Jörg Zimmermann:
Hi Marc,
On 14 Dec 2001 at 8:21, Marc Mc Guinness wrote:
Am Donnerstag, 13. Dezember 2001 16:07 schrieben Sie:
On 13 Dec 2001 at 15:36, Marc Mc Guinness wrote:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen? [...]
Übrigens wird sich kein Nameserver in dem Netz befinden. Wir brauchen nämlich eine gewissen Sicherheit, daß sich niemand unerlaubt ins Netz einklinkt, daher fällt DHCP schonmal weg. DNS macht uns zuviel Arbeit: Innerhalb eines Abends müssten dann über 90 Rechner in den DNS eingetragen werden und schließlich sind da noch andere Dinge, um die wir uns kümmern müssen (Stromversorgung, Netzwerkverkabelung, etc.).
Mein Vorschlag beruhte auf der Annahme das der Server das routing übernimmt und alle Rechner über den Server kommunizieren. Die von Dir jetzt dargestellte Situation ist aber eine Andere. So wird Dir weder subnetting noch iptables helfen können. Deinen weiteren Mails konnte ich entnehmen das das eine LAN Party wird. Herzlichen Glückwunsch. Ich hoffe Dir ist bewusst was Du da machst.
1.) Die Bekanntgabe einer LAN Party ist eine Einladung an jeden Cracker. Überleg mal, wo stehen sonst so viele 'offene' Maschinen rum. Erst hier macht das installieren von Trojanern richtig Spaß. Naja, und wenn dann noch auf dem Server eine Backdoor installiert ist, kann man ja noch ein wenig zocken. Ein Fest sozusagen.
Ja, das ist mir ja bewußt. Das ist übrigens das fünfte Mal, daß ich mit 2 Kollegen eine Party in der Größenordnung von 80 bis 90 Maschinen organisiere. Also bin ich mir über die Gefahren im Klaren. Nur wollten wir das dieses Mal etwas professioneller durchführen ohne das wir uns in gehörige Unkosten stürzen. [...] MfG, Marc Mc Guinness
Hallo Marc, hallo Leute, Am Donnerstag, 13. Dezember 2001 15:36 schrieb Marc Mc Guinness:
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
Laut IP-Aliasing-Howto kann man Aliase von eth0:0 bis eth0:255 vergeben, dazu noch das "Original" eth0 sind zusammen 257 IPs. Allerdings weiß ich nicht, ob yast das verkraftet ;-) Falls Du es probierst, schreib mir bitte, ob es mit yast möglich ist. Mit ifconfig sollte es auf jeden Fall gehen. Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux is like a wigwam: no gates, no windows, but an apache inside.
Marc Mc Guinness wrote:
Hallo!
Ich möchte um sicherzustellen, daß sich niemand illegal in mein Netzwerk reinhängt, einer einzigen Netzwerkkarte zunächst einmal über 200 IP-Adressen zuweisen. Dann für jeden neuen Rechner im LAN eine von der NIC wegnehmen und dem Rechner zuweisen.
Unter anderen Umständen würde ich das ja mit Hilfe eines vernünftigen Switches lösen können, aber das geht eben nicht.
Kann ich einer Netzwerkkarte mehr als 200 IP-Adressen zuweisen?
MfG,
Marc Mc Guinness
Arpwatch zeigt einem (via email) an, wenn eine neue Netzwerkkarte entdeckt wird. Mit etwas procmail usw. kann man evtl daraus eine geeignete Reaktion erzeugen, z.B. Firewall-Regeln generieren. Roland Hilkenbach
participants (5)
-
Christian Boltz -
Jörg Zimmermann -
Marc Mc Guinness -
Mirko Richter -
Roland Hilkenbach