proxy arp und policy routing

Michael Schnupp michas at minet.uni-jena.de
Die Sep 5 18:46:15 CEST 2006


On Tue, 5 Sep 2006, Erik Heinz wrote:

> Ich frage mich aber, wozu Du das überhaupt brauchst. Beschreibe doch mal
> Deine Netztopologie.

Bist du dir da sicher, dass du das wissen willst? ;)

Ausgangspunkt war die Frage, ob man mehrere Rechner problemlos unter einer
IP-Adresse erreichen kann, ohne irgendwelche NAT-Spielchen, nur durch
reines Linux-Routing.

Also nehmen wir einen Netzwerkanschluss drei Geräte und geben allen die
gleiche eine IP-Adresse. :)

Damit das nicht völlig im Chaos endet, nennen wir die Geräte Linux-(R)outer,
(T)elefon, und (C)omputer. Und schließen den Router direkt ans (N)etz
und die beiden anderer dahinter.

        ,--- T
 N --- R
        '--- C

Da das SIP-Telefon nur immer die selben wenige Ports braucht, kann der
Computer ja den Rest nutzen und damit quasi ungestört weiterarbeiten.
Der Router gibt im Prinzip alle Pakete von T und C an N weiter.
Bei einkommenden Paketen entscheidet er anhand des Zielports zu welchem
Interface er das Paket weiterleitet. - Klingt soweit erstmal machbar.
(Evt müsste man das halt noch mit ein paar Filterregeln abschmecken.)

In der einfachen Version bekommt R gar keine IP-Adresse, muss aber
(per Proxy-ARP) ARP-Anfragen richtig beantworten. - Da taucht im Prinzip
die obige Frage auf. (Man könnte da sicher noch schlimmere Szenarien
konstruieren.)

In der komplizierteren Version, soll man den Router auch noch (z.b. per
ssh) unter (natürlich wieder der selben) IP-Adresse erreichen können. - Da
gibt es dann aber das Problem, dass man keinem Interface diese IP-Adresse
zuweisen kann, da sonst die Adresse in der local-Tabelle landen und damit
der ganze Routing-Algorithmus umgangen wird, da es wohl keine Chance gibt,
noch irgend eine andere Regel davorzuklemmen. :(
- Das ist dann aber ein anderes Problem, und alle Lösungen die mir
dazu grad einfallen sind noch deutlich perverser...

Gruß
	mic'ihr wolltet es ja wissen'has
-- 
Vision without action is a daydream,
but action without vision is a nightmare.