Hi, 20.09.2007 08:57,, Eric Scheen wrote::
Guten morgen zusammen,
Frage an die Routing-Spezialisten ;-)
Beim testen von eGropware ist mir etwas aufgefallen:
Die Groupware ist auf einem Rechner installiert der im 192.168.1.0er Netz ist - ein zweites Interface der Maschine ist über DSL am I-Net (dynamische IP). Die Maschine arbeitet auch als Router für die anderen Rechner im LAN (Win XP), als DHCP Server und Samba läuft - DNS für das LAN ist nicht konfiguriert.
Die Groupware kann per Webinterface von den Rechnern aus dem LAN erreicht werden (so auch gewollt) von extern sollte dies nicht möglich sein - in der Firewall ist kein Port freigegeben und ein Portscan bestätigt mir das auch.
Schonmal sehr gut.
Nachdem ich mal spaßeshalber die aktuell zugewiesene IP Adresse der I-Net Schnittstelle eingegeben habe meldete sich zu meinem erstaunen das Webinterface der Groupware! Nach einem ersten Schreck und einem Blick in das Zugangsprotokoll musste ich feststellen das der Zugang von einer internen IP und nicht von extern erfolgte.
Frage ist nun: Wer oder was biegt mir meine Verbindung (durchaus passend) um?
Die Routingfunktionen. Die Anfrage geht ja an <extIP> und wird als erstes an den Router geschickt, der nun zufällig auch der den Dienst bedienende Host ist. Sie kommt am internen Interface an. Es wird festgestellt, das geroutet werden muss. Als nächstes wird festgestellt das das Ziel-Interface lokal vorhanden ist, also werden die Daten intern an den IP-Stack weitergegeben der für die <extIP> zuständig ist. Und da kommen sie quasi innerhalb der Firewall an. Das ganze wird sogar verständlicher wenn man das ISO-Schichtenmodell kennt und sich überlegt, zwischen welchen Schichten die Firewall arbeiten kann. Aber das hier auszuführen würde wohl eine etwas längere Mail bedeuten, und ich hab' gar keine Zeit... Arno
Grüße Eric
-- Arno Lehmann IT-Service Lehmann www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org