WLan sicher, aber dhcp kann keine IP mehr vergeben ...

knauthe · Beitrag von **knauthe** » 16.04.2005 15:21:07

Hallo zusammen,

ich habe das WLan abgesichert (neben Verschlüsselung) indem ich mit IPTABLES einerseits nur bestimmte mac zulasse und diese gleichzeitig noch an IPs binde (Traffic überwachen, ipac-ng). Das ganze sieht z.B. so aus (firewallscipt)

Code: Alles auswählen

iptables -A INPUT -s 192.168.6.24 -m mac --mac-source 00:ee:00:ee:00:ee -j ACCEPT

Als dhcp läuft dnsmasq mit

Code: Alles auswählen

# Netz IPs einschränken
dhcp-range=192.168.6.20,192.168.6.24,12h

und

dhcp-host=00:ee:00:ee:00:ee,Nick,192.168.6.24

Schaltet man die Einschränkungen im firewall script ab, teilt der dnsmasq die richtige IP zu und alles ist prima. Sagt man dem client statisch seine (zugelassene) IP bei eingeschalteter firewall ist auch alles prima.

ABER: versucht sich der client vom dnsmasq seine IP zu holen:

Code: Alles auswählen

No DHCPOFFERS received.
Exiting.
Failed to bring up eth1

Meine Vermutung: Die firewall blockt die offer vom DHCP. Stimmt das? Gibt's dafür ne Lösung? TIA schonmal für jeden Tip *ggk

thorben · Beitrag von **thorben** » 17.04.2005 18:31:51

moin,
vermutlich stimmt das

dhcp ist port 67 soweit ich mich erinnere (schau halt /etc/services), wenn der nicht offen ist gibts keine ip...

gruß
thorben

Beitrag von **KBDCALLS** » 17.04.2005 18:39:37

DHCP ist aber UDP und nicht TCP.

knauthe · Beitrag von **knauthe** » 19.04.2005 12:06:53

Super. Dann isses damit

Code: Alles auswählen

iptables -A INPUT -i $WLANINTERFACE -p udp --dport 67 -j ACCEPT

ja getan. thx*ggk

Joghurt · Beitrag von **Joghurt** » 19.04.2005 12:48:12

Nur noch mal als Hinweis: wenn man die Verschlüsselung geknackt hat, ist der MAC-Filter kein Hindernis mehr. Man sammelt einfach alle gültigen MACs und wenn einer dieser Rechner down ist, gibt man diese als seine an.

DynaBlaster · Beitrag von **DynaBlaster** » 19.04.2005 13:19:20

Zu den MAC-Adressen hätte ich in dem Zusammenhang mal eine Verständnisfrage. Ursprünglich dachte ich mal, eine MAC-Adresse würde nur ein einziges Mal vergeben und wäre quasi physikalisch an die Netzwerkkarte gebunden. Damit wäre ein "Fälschen" oder Manipulieren der MAC-Adresse ja unmöglich.
Leider scheint das ja nicht so zu sein - es gibt ja sogar Netzwerkkarten, bei denen man die MAC-Adresse selbst festlegen kann (Onboard-LAN auf meinem MSI-Mainboard z.B). Ich habe mal gehört, es gäbe 2 unterschiedliche MAC-Adressen, quasi eine Software- und eine Hardwarevariante (jedenfalls habe ich mir das so vorgestellt

), und letztere wäre nicht manipulierbar.

Die Frage ist dann halt, mit welcher von beiden MAC-Adressen-Varianten iptables oder ein DHCP-Server arbeitet. Und wie sieht es im WLAN aus ? In einem Cat.5-verkabelten Netz kann ich mir eine MAC-Adressen-Kontrolle auf physikalischer Ebene noch vorstellen - aber im WLAN irgendwie nicht so.

Wäre nett, wenn jemand meine Unwissenheit beseitigen kann, mein Dank ist ihm gewiss

Neo_0815 · Beitrag von **Neo_0815** » 19.04.2005 13:50:40

MAC Adressen kannst du ganz einfach mit "ifconfig" ändern, wie du lustig bist.
Mit der arbeitet dann auch das OS.

MAC Adressen sind nicht fälschungssicher, die Sicherheit musst du anders herstellen wenns wirklich sicher sein soll, IPSec zum Beispiel, oder Radius Authentifizierung ... gibt viele Möglichkeiten.

Gruß