Patrick Hess wrote:
Peter Wiersig schrieb:
Patrick Hess wrote:
Aber irgendwie verstehe ich das Prinzip nicht. Ersetzt dieses dann eine /etc/hosts? Akzeptiert der Server dann nur noch Verbindungen von Rechnern, auf die eine dieser Zuordnungen zutrifft?
Nein, er weiss nur schon die MAC Adressen von den Clients.
Heißt also, ich darf in die /etc/hosts des Servers nur die Rechner reinschreiben, die ich auf den Server zugreifen lassen will (momentan sind da ein paar "Reserve"-Einträge drin)?
Hm, klar, wenn der Server sonst keine weitere Moeglichkeit hat, IP-Adressen in Hostnamen aufzuloesen, hilft es wenn /etc/hosts auf ein Minimalmass reduziert wird. Aber /etc/ether ist zusaetzlich zu /etc/hosts noetig.
Der Server würde dann die IP-Adresse, die der Client übermittelt, mittels seiner /etc/hosts in einen Rechnernamen auflösen und dann vergleichen, ob die MAC-Adresse des Clients mit der übereinstimmt, die ich mit "arp" gespeichert habe?
Nein, er baut die Ethernet-Pakete nur so zusammen, als wuesste er alles. Aber richtig viel veraendern, was mit den Paketen nach dem sie die Netzwerkkarte des Servers verlassen haben, kann man durch nichts, was im Server passiert. (Promiscuous-Mode NICs und Co)
Ist das wirklich sicher oder kann man das irgendwie umgehen?
Besser ist wahrscheinlich ein Switch der MAC-Locking kann.
Der auch entsprechend $BIGNUM Euro verschlingen wird... Nö, ich schaue mir das mal mit dem "arp" an.
arp bietet allerdings weniger Schutz vor dem Szenario "Fremder, boeser Client hat Zugriff auf's Ethernet-Kabel". Peter