ubuntuusers.de

Hallo Forum,

habe soeben herausgefunden dass es das so genannte IP-Aliasing gibt, bei dem man mehrere Netzwerkkarten simuliert, um einen Computer unter mehreren Adressen erreichbar werden zu lassen.

Dabei wird in den Tutorials aber immer direkt eine IP-Nummer der jeweiligen Dummy-Netzwerkkarte zugewiesen - also beim Erstellen.

Das wirft bei mir zwei Fragen auf:

1.) Sind diese Dummy-Netzwerkkarten nach außen hin überhaupt sichtbar (d.h. sind deren MAC-Adressen im LAN erreichbar?) ?

2.) Falls ja: Kann so eine Dummy-Karte nicht ganz normal per DNS seine IP-Adresse vom Router bekommen, wie jedes anderen LAN-Gerät auch?

Im Moment hängt bei mir ein selbstgebautes NAS (WLAN-Router mit OpenWRT und HDD) hinter'm dicken Internet-Router und stellt WLAN und HDD ohne Firewall, DNS oder irgendwelchen Schnickschnack im LAN bereit (also Access-Point und NAS in einem).

Denkbar wäre jetzt eine alternative Gateway-Adresse auf diesem NAS, die nur eine Verbindung zu ganz bestimmten Inernetadressen erlaubt, etwa Youtube, Dailymotion oder benötigte Linux-Mirrors.

Dadurch könnte ich diverse Geräte zum ordnungsgemäßen Arbeiten zwingen, indem ich in deren Einstellungen den alternativen Gateway für Internetverbindungen eintrage.

Bislang habe ich als Gateway-Adresse immer Quatsch eingestellt, damit Geräte wie Stereoanlage, Drucker oder Spielekonsole zwar LAN-Zugriff, aber kein Internet bekommen. Das funktioniert soweit ausgezeichnet. Auf meiner Playstation möchte ich jetzt aber gerne Youtube und Dailymotion erlauben, alles andere aber sperren. Ich will da weder shoppen oder "Freunde" finden, noch irgendwelche Trophys hochladen.

Würde ich einfach die Firewall auf dem NAS einschalten, beträfen die Regeln vermutlich alle Geräte, die per WLAN mit dem NAS verbunden sind. Firewall-Einstellungen auf dem Internetrouter würden das ganze LAN betreffen.

Daher klingt die Sache mit dem IP-Alias für mich interessant. Wäre so ein alternativer Gateway denkbar, ohne die bisherigen Funktionen des NAS zu beeinträchtigen? - Also quasi als Zusatzfunktion.

Wo gibt es Informationen dazu und welche brauche ich überhaupt? Wäre für hilfreiche Informationen zu diesem Thema dankbar.

Hallo!

Leider kann ich direkt zu deiner Anfrage nichts beitragen, außer dir ein paar Links zu spendieren:

• Router

• ip

Zur firewall allerdings: Du kannst bestimmen, welche Geräte/IP-Adressen Zugriff auf diese Seiten bekommen und diese somit auch nur für gewünschte Geräte verfügbar machen.

Da könntest du dir einen Filter oder eine Chain einrichten, welche mittels --source filtert und nur Pakete durchlässt, die von der IP der PS4 kommen.

whocares02 schrieb:

Dabei wird in den Tutorials aber immer direkt eine IP-Nummer der jeweiligen Dummy-Netzwerkkarte zugewiesen - also beim Erstellen.

Ein Alias-Interface ist kein Dummy-Interface. Das sind zwei verschiedene Sachen.

1.) Sind diese Dummy-Netzwerkkarten nach außen hin überhaupt sichtbar (d.h. sind deren MAC-Adressen im LAN erreichbar?) ?

Alias-Interfaces haben die gleiche MAC-Adresse wie das Haupt-Interface. Oder anders gesagt: Für Alias-Interfaces kann man keine eigene MAC konfigurieren.

2.) Falls ja: Kann so eine Dummy-Karte nicht ganz normal per DNS seine IP-Adresse vom Router bekommen, wie jedes anderen LAN-Gerät auch?

Nein, da keine eigene MAC 😉

Im Moment hängt bei mir ein selbstgebautes NAS (WLAN-Router mit OpenWRT und HDD) hinter'm dicken Internet-Router und stellt WLAN und HDD ohne Firewall, DNS oder irgendwelchen Schnickschnack im LAN bereit (also Access-Point und NAS in einem).

Denkbar wäre jetzt eine alternative Gateway-Adresse auf diesem NAS, die nur eine Verbindung zu ganz bestimmten Inernetadressen erlaubt, etwa Youtube, Dailymotion oder benötigte Linux-Mirrors. Dadurch könnte ich diverse Geräte zum ordnungsgemäßen Arbeiten zwingen, indem ich in deren Einstellungen den alternativen Gateway für Internetverbindungen eintrage.

Ja, das geht natürlich. Das ginge aber auch ohne zusätzliche Adresse, denn du kannst die Clients ja schon jetzt anhand ihrer IP unterscheiden. Wenn du auf dem Ding iptables nutzen kannst, ist das kein Problem. Dazu sollte der DHCP aber quasi-statische Adressen vergeben.

Würde ich einfach die Firewall auf dem NAS einschalten, beträfen die Regeln vermutlich alle Geräte, die per WLAN mit dem NAS verbunden sind.

Jein. Richtiger wäre: Firewallregeln auf dem NAS beträfe maximal alle Geräte, die per WLAN verbunden sind. Man kann aber natürlich auch eine Regel eintragen, die nur für bestimmte Clients gilt.

Firewall-Einstellungen auf dem Internetrouter würden das ganze LAN betreffen.

Hier analog.

Daher klingt die Sache mit dem IP-Alias für mich interessant. Wäre so ein alternativer Gateway denkbar, ohne die bisherigen Funktionen des NAS zu beeinträchtigen? - Also quasi als Zusatzfunktion.

Es kommt wie gesagt darauf an, welche Software als Firewall eingesetzt werden kann, aber prinzipiell ist das möglich.

Wo gibt es Informationen dazu und welche brauche ich überhaupt? Wäre für hilfreiche Informationen zu diesem Thema dankbar.

Wiki: iptables

Vielen Dank schonmal für die Links! Dass man per Firewall so einiges regeln kann ist mir natürlich klar. Doch da passieren mir zu leicht Fehler und insgesamt ist dass dann immer sehr aufwändig. Mit ein, zwei Regeln ist es ja nie getan und zu leicht hat man dann irgendeine Ausnahmeregelung vergessen. Kommt es zu unerklärlichen Fehlern, kann es an diesen Firewall-Einstellungen liegen...oder auch nicht.

Dass die Aliases an die Netzwerkkarte gebunden sind ist aber auf jeden Fall eine nützliche Information. Du schriebst, IP-Alias und Dummy-Interface wäre nicht das Selbe. Was ist denn dann ein Dummy-Interface? Ist das evtl. genau das was ich brauche, also ein virtuelles Interface? Ich finde gerade nicht mehr das Tutorial, wo ich den Begriff herhabe. Jedenfalls hatte der Autor da sowohl IP-Aliases als auch MAC-Adressen konfiguriert. Werde das mal nachreichen, sobald ich es finde.

Rein theoretisch wäre eine virtuelle Netzwerkkarte, sofern es sowas gibt, die Ideallösung: Dafür lassen sich per Weboberfläche kinderleicht Firewallregeln definieren, die in meinem Fall sehr einfach wären: Alles blocken, mit Ausnahme ganz bestimmter Adressen.

Eine Konfiguration "per Interface" halte ich für zuverlässiger, als eine reine IP-Forwarding- / Firewall-Lösung. Ich will mir ja mein vorhandenes Setup nicht durcheinander bringen, sondern nur etwas hinzufügen.

whocares02 schrieb:

Doch da passieren mir zu leicht Fehler und insgesamt ist dass dann immer sehr aufwändig. Mit ein, zwei Regeln ist es ja nie getan und zu leicht hat man dann irgendeine Ausnahmeregelung vergessen. Kommt es zu unerklärlichen Fehlern, kann es an diesen Firewall-Einstellungen liegen...oder auch nicht.

Firewall-Einrichtung ist kein Hexenwerk. Und auch mit 2-3 überschaubaren Regeln kommt man da schon weit. Zumal deine Regeln ja nur für bestimmte Clients gelten sollen. Sollte doch mal was nicht gehen, kann man auch die Logging-Funktion einschalten und sieht dann live, wenn man einen Fehler gemacht hat.

Dass die Aliases an die Netzwerkkarte gebunden sind ist aber auf jeden Fall eine nützliche Information. Du schriebst, IP-Alias und Dummy-Interface wäre nicht das Selbe. Was ist denn dann ein Dummy-Interface?

Ein Dummy-Interface ist ein virtuelles Interface, welches man im Kernel erstellen kann. Dort kann man dann Subnetze draufpacken, Firewallkonfiguration testen etc.

Ist das evtl. genau das was ich brauche, also ein virtuelles Interface?

Eigentlich nicht. Das nützt dir IMHO wenig.

Rein theoretisch wäre eine virtuelle Netzwerkkarte, sofern es sowas gibt, die Ideallösung: Dafür lassen sich per Weboberfläche kinderleicht Firewallregeln definieren, die in meinem Fall sehr einfach wären: Alles blocken, mit Ausnahme ganz bestimmter Adressen.

Naja, auf ein virtuelles Netzwerkinterface kann man aber von außen nicht zugreifen... es hat ja keinen Bezug zur Hardware.

Eine Konfiguration "per Interface" halte ich für zuverlässiger, als eine reine IP-Forwarding- / Firewall-Lösung. Ich will mir ja mein vorhandenes Setup nicht durcheinander bringen, sondern nur etwas hinzufügen.

Ich verstehe deine Bedenken nicht. Du bringst ja kein Setup durcheinander. Du konfigurierst einfach ein paar Regeln für einen Client.

Denn im Endeffekt wird WLAN-Traffic am NAS immer am selben Interface rauskommen, nämlich am WLAN-Interface. Anders geht es nicht, es sei denn du steckst noch eine zweite WLAN-Netzwerkkarte dazu. Alias-Interfaces existieren nicht wirklich im Kernel (das sind einfach nur zusätzliche Adressen auf dem eigentlichen Interface), und Dummy-Interfaces sind von außen nicht erreichbar.

Ich denke ich muss das nochmal präzisieren:

• Alias-Interfaces existieren nicht wirklich. Es sind einfach weitere konfigurierte IPs auf einem physischen Interface.

• Man kann via iptables nicht unterscheiden, welcher Traffic an welche der konfigurierten Gateway-IPs angekommen ist. Diese Information ist schlicht nicht verfügbar.

Was du machen kannst, ist VLANs einrichten. In diesem Fall hättest du 2 getrennte Interfaces, die du in einem Firewallsetup separat behandeln kannst.

Ich glaube das mit dem VLAN ist für mich eine Sackgasse: Der Router hat nur einen Ethernet-Port.

Ich arbeite mich gerade durch die Openwrt-Beschreibungen durch und bin dabei auf das hier gestoßen:

# Specifying multiple interfaces sharing the same device:

config interface foo
  option ifname eth1
  option ipaddr 10.8.0.1
  option netmask 255.255.255.0
  option ip6addr fdca:abcd::1/64

config interface foo2
  option ifname eth1
  option ipaddr 10.9.0.1
  option netmask 255.255.255.0
  option ip6addr fdca:cdef::1/64

Da werden tatsächlich Interfaces direkt mit IP-Adressen definiert. Quelle: dier hier (ganz unten auf der Seite).

Und Openwrt scheint einige Bugs zu haben. Es gibt mehrere gelbe Ausrufezeichen auf der Seite, wo Sachen nicht so funktionieren wie sie sollten. Deshalb bin ich nach wie vor ein wenig skeptisch mit umfangreicheren Konfigurationen.

Beispiel (ohne es vollständig zu verstehen):

It seems that on openwrt 12.09 if a route is defined using a gateway in an address space where a gateway is already defined, it will be not added. Like the lan has the gateway 192.168.1.1 and we want to go to 1.2.3.4 over the gateway 192.168.1.5 within the interface lan, it will not be added. Could be added through ip route commands tough.

oder:

It seems that if an interface is configured as dhcp client, at least on OpenWrt 10.03, the default route received by dhcp will be the only one listed and will remove other default route/metrics defined for other interfaces if those interfaces comes "before" the interface with dhcp in terms of "ifname" values. For example:

oder:

In openwrt 12.09, if an interface section has no protocol defined (not even none ), the other settings are completely ignored. The result is that, if the interface section is mentioning a physical network interface (i.e. eth0), this will be down even if a cable is connected (with proto 'none' the interface is up). (could be that more testing is needed)

Unter dem Alias-Abschnitt steht gar:

On openwrt 12.09, a lan interface that is first defined as dhcp interface and then has aliases with static ip address could cause problems in routing the lan traffic through the wan zone using the basic lan-wan forwarding provided by openwrt. A solution is: having the basic interface with static address and aliases with dhcp protocol.

Another note is related to 'how to refer to the ifname of an interface'. Normally the ifname is br-wan if the interface wan is bridged, else is ifname <nic_device> . Another way to avoid to list always the same device is using ifname @interface. In this way, even if the wan interface is not a bridge, one can refer to the physical device used by the wan interface indirectly.

Auf dieser Seite sind die ganzen Interface-Typen aufgelistet, die es so gibt. Da fällt mir "bridged" in's Auge:

Zwei Interfaces, verhalten sich, als wäre es eins. Wenn eines der beiden jetzt noch 'ne zusätzliche IP-Adresse hat (wie im obigen Beispiel), um von außen erreichbart zu sein, kann ich dann nicht per Firewall / IP-Tables den kompletten Traffic für dieses Interface sperren, mit Ausnahme besonderer Webseiten? Die IP des gebridgden Interfaces würde ich dann als Gateway in die anderen Netzwerkgeräte eintragen wollen.

Edit:

Hab inzwischen die Seite gefunden, die ich nachreichen wollte: Es ist die hier.

Da erstellt jemand ein Dummy-Interface, packt ein Alias drauf und vergibt anschließend noch 'ne MAC-Adresse. Wäre der Traffic von so einem Interface dann nicht per Firewall regelbar?

whocares02 schrieb:

Ich glaube das mit dem VLAN ist für mich eine Sackgasse: Der Router hat nur einen Ethernet-Port.

Ein VLAN ist ein logisches Teilnetz. Du kannst verschiedene VLANs getaggt auf einem Port betreiben.

Zwei Interfaces, verhalten sich, als wäre es eins. Wenn eines der beiden jetzt noch 'ne zusätzliche IP-Adresse hat (wie im obigen Beispiel), um von außen erreichbart zu sein, kann ich dann nicht per Firewall / IP-Tables den kompletten Traffic für dieses Interface sperren, mit Ausnahme besonderer Webseiten?

Das kann ich nicht genau sagen, weil ich nicht weiß, wie OpenWrt da intern arbeitet. Wenn diese Interfaces wirklich existieren, dann würde das funktionieren; wenn es hingegen nur Aliase sind, kannst du den Traffic per iptables nicht unterscheiden.

Hab inzwischen die Seite gefunden, die ich nachreichen wollte: Es ist die hier. Da erstellt jemand ein Dummy-Interface, packt ein Alias drauf und vergibt anschließend noch 'ne MAC-Adresse. Wäre der Traffic von so einem Interface dann nicht per Firewall regelbar?

Du kannst eine Bridge auf dem physischen Interface erstellen und dort 2 Dummy-Interfaces mit 2 verschiedenen IP-Adressen ranbammeln. Dann kannst du den Traffic unterscheiden. Ob das bei OpenWRT so funktioniert weiß ich nicht, da scheint es ja einige Bugs zu geben.

Ich habe ehrlich gesagt noch nie gesehen, dass jemand so viel Aufwand betreibt, nur um ein paar Clients in der Firewall zu beschränken^^

Moin.

misterunknown schrieb:

Das kann ich nicht genau sagen, weil ich nicht weiß, wie OpenWrt da intern arbeitet. Wenn diese Interfaces wirklich existieren, dann würde das funktionieren; wenn es hingegen nur Aliase sind, kannst du den Traffic per iptables nicht unterscheiden.

Das verstehe ich nicht. Du meinst mit "wirklich" das es entweder physisch oder virtuell ist, richtig? Bei mir (Openwrt) habe ich diverse virtuelle Nics definiert und diesen VLANs zugewiesen. Den Traffic trenne ich über VLANs. Ich habe bei mir am Trunkport eth0 z.B. folgendes vNIC raufgepackt:

eth0.22   Link encap:Ethernet 
          inet addr:192.168.22.1  Bcast:192.168.22.7  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

Das wäre dann wohl dein besagtes "Dummy" Interface?

VLANs kommen für den TE sowieso nicht in Frage, wenn er alles über WLAN macht.

Hans9876543210 schrieb:

Das verstehe ich nicht. Du meinst mit "wirklich" das es entweder physisch oder virtuell ist, richtig?

Korrekt. Wenn das Interface per ip link show sichtbar ist, existiert es wirklich, also entweder physisch oder virtuell, und kann auch via iptables als Kriterium genutzt werden. "Alias-Interfaces" würden dort nicht auftauchen, sondern die entsprechenden IPs auf dem "echten" Interface. Deutlicher wird das durch ein Beispiel:

$ ip link add dummy0 type dummy
$ ifconfig dummy0 10.0.0.1/24 up
$ ifconfig dummy0:0 10.0.0.2/24 up
$ ifconfig dummy0
dummy0    Link encap:Ethernet  Hardware Adresse 3e:a7:65:6e:51:be  
          inet Adresse:10.0.0.1  Bcast:0.0.0.0  Maske:255.255.255.0
          BROADCAST NOARP  MTU:1500  Metrik:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

$ ifconfig dummy0:0
dummy0:0  Link encap:Ethernet  Hardware Adresse 3e:a7:65:6e:51:be  
          inet Adresse:10.0.0.2  Bcast:10.0.0.255  Maske:255.255.255.0
          BROADCAST NOARP  MTU:1500  Metrik:1

$ ip a s
...
4: dummy0: <BROADCAST,NOARP> mtu 1500 qdisc noop state DOWN group default 
    link/ether 3e:a7:65:6e:51:be brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 scope global dummy0
       valid_lft forever preferred_lft forever
    inet 10.0.0.2/24 brd 10.0.0.255 scope global secondary dummy0:0
       valid_lft forever preferred_lft forever

Ich erstelle erst ein Dummy-Interface, und weise diesem dann per ifconfig eine IP zu. Mit dem zweiten ifconfig-Befehl wird ein "Alias-Interface" erstellt, mit einer weiteren IP. Danach wird überprüft, ob alles korrekt funktioniert hat. Das ist der Fall. Mit dem letzten Befehl sieht man, dass innerhalb des Kernels aber nur ein Interface existiert. Der Workaround mit Alias-Interfaces wurde nur eingeführt, damit man das Tool ifconfig weiterhin benutzen kann, auch um mehrere IPs zu konfigurieren. Mittlerweile ist der Gebrauch von ifconfig, ifup, ifdown, ifcfg und route sowieso nicht mehr empfohlen. Stattdessen sollte ip (iproute2) genutzt werden.

Bei mir (Openwrt) habe ich diverse virtuelle Nics definiert und diesen VLANs zugewiesen. Den Traffic trenne ich über VLANs. Ich habe bei mir am Trunkport eth0 z.B. folgendes vNIC raufgepackt:

1 2 3

eth0[mark].22[/mark] Link encap:Ethernet inet addr:192.168.22.1 Bcast:192.168.22.7 Mask:255.255.255.248 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

Das wäre dann wohl dein besagtes "Dummy" Interface?

Nein, das sind VLAN-Interfaces. Diese sind auch "echt" (existieren also im Kernel) und können via ip verwaltet werden. VLAN-Interfaces brauchen aber natürlich ein "Eltern"-Interface, im Gegensatz zu Dummy-Interfaces, die völlig unabhängig sind. Man kann aber beispielsweise ein Dummy-Interface erstellen, und daran wiederum VLAN-Interfaces knöpern.

Eine Übersicht über alle Link-Typen im Kernel gibts in der Manpage von ip link (man ip-link).

VLANs kommen für den TE sowieso nicht in Frage, wenn er alles über WLAN macht.

Wieso?

Danke für die Erklärung. Das Dummy Interface kannte ich gar nicht. Ist aber wohl eher für Spielereien gut.

Wg VLAN in WLAN: aus meiner Sicht ist ein WLAN AP erstmal nur ein großer kabelloser Switch, der jedoch keine Ports hat. Ohne Ports kann ich auch keine VLAN Zuweisung pro Port (und somit pro Endgerät) machen, sondern nur pauschal alle WLAN Teilnehmer in ein VLAN packen. Dann müsste man wohl verschiedene WLANs aufspannen, um eine Trennung je Geräteklasse zu erreichen (wie das Gastnetz bei der Fritzbox).

Hans9876543210 schrieb:

Danke für die Erklärung. Das Dummy Interface kannte ich gar nicht. Ist aber wohl eher für Spielereien gut.

Richtig. Ich teste mit Dummy-Interfaces manchmal irgendwelche Setups, oder stelle Konstellationen von Leuten nach, die hier Hilfe suchen.

Wg VLAN in WLAN: aus meiner Sicht ist ein WLAN AP erstmal nur ein großer kabelloser Switch, der jedoch keine Ports hat. Ohne Ports kann ich auch keine VLAN Zuweisung pro Port (und somit pro Endgerät) machen, sondern nur pauschal alle WLAN Teilnehmer in ein VLAN packen.

Das stimmt nur begrenzt. Richtig ist, dass man keine port-basierten VLANs ohne Ports einrichten kann 😛 Allerdings kann man nach dem 802.1Q-Standard tagged VLANs nutzen. Der definiert ein optionales VLAN-Tag im Ethernet-Frame. Siehe auch.

Dann müsste man wohl verschiedene WLANs aufspannen, um eine Trennung je Geräteklasse zu erreichen (wie das Gastnetz bei der Fritzbox).

Das wäre natürlich auch möglich. OpenWRT kann das meines Wissens.

misterunknown schrieb:

Das stimmt nur begrenzt. Richtig ist, dass man keine port-basierten VLANs ohne Ports einrichten kann 😛 Allerdings kann man nach dem 802.1Q-Standard tagged VLANs nutzen. Der definiert ein optionales VLAN-Tag im Ethernet-Frame. Siehe auch.

Ja, stimmt. Aber ob die Endgeräte dann mit den tagged VLANs umgehen können, bezweifle ich. Für Linux und Konsorten geht das, aber Smartphones, Smart TVs und ne PlayStation?! Das habe ich da noch nicht gesehen.

Hans9876543210 schrieb:

Ja, stimmt. Aber ob die Endgeräte dann mit den tagged VLANs umgehen können, bezweifle ich. Für Linux und Konsorten geht das, aber Smartphones, Smart TVs und ne PlayStation?! Das habe ich da noch nicht gesehen.

Das ist vermutlich richtig. Eine Lösung könnte sein, das Default-VLAN (ohne Tag) zu beschränken, und alles was ungefiltert raus dürfen soll mit einem VLAN-Tag zu versehen.

Ich möchte allerdings nicht müde werden zu betonen, dass ich das für Overkill halte, und man das Problem mit einer Hand voll iptables-Regeln im Nu gelöst hätte 😬

Ja. Für einzelne Geräte ein VLAN einzurichten ist tatsächlich too much. Jetzt mal abwarten was der TE noch für Überlegungen hat.