routing ohne routing?

[ridcully]

Hallo,
ich arbeite mit debian und kernel 2.4.18 bzw. 18.4.20 und versuche, damit einen Router mit
Firewall zu betreiben. Eingebaut sind 3 Netzwerkkarten (3com 2x, Realtec 1x) und unterschiedliche
IP-Adressen (1, 2 und 3er Netz) haben. Nun kommt es vor, daß ich von einem Client Zugriff auf beide "fremde" Netze bekomme - obwohl das Routing abgeschaltet ist ( cat /proc/sys ... /ip_forward --> 0 ). Es scheint, als ob eine Karte (meist eth1) alle IP-Adressen bedient.
Dies würde meine kartenbezogenen Regeln in der Firewall aushebeln.
Hat jemand eine Idee dazu?
Danke!
ridcully

[tylerD]

Kannst du deine Netzwerktoppologie etwas genauer darstellen? Und danach bitte das Problem genau beschreiben.

cu

[ridcully]

Es sollen 3 Netze miteinander verbunden werden:
192.168.1.x
192.168.2.x
192.168.3.x.
Der Router befindet sich allen 3 Netzen (192.168.x.254). Für die Tests wurde das Routing deaktiviert (echo 0 > /proc/sys ... /ip_forward). Er sollte also nicht routen.
Nun teste ich mittels Ping:
1. von 192.168.1.x auf 192.168.1.254 --> ping request --> ok
2. von 192.168.2.x auf 192.168.1.254 --> ping request --> nok
3. von 192.168.3.x auf 192.168.1.254 --> ping request --> nok
Meiner Ansicht nach duerfte ich in den Faellen 2 und 3 kein ping-request bekommen, wenn die Routing-Funktion abgeschaltet wurde.
Zunächst funktionierte es auch so, wie ich denke, nach einem Neustart des Rechners allerdings trat dieses Phenomen auf.
Auch mit neu kompiliertem Kernel, wo ich drauf geachtet habe, dass Bridging nicht aktiviert wurde trat es nach einem Neustart des Rechners auf.
evtl. ein IRQ-Problem?

[Bert]

Was genau meinst Du mit Ping Request (2+3). Angenommen, daß 'nok' bedeutet, das keine Antwort auf den Ping kommt, dann ist doch alles ok; oder?

[ridcully]

nein. ping-request bredeutet, dass ich eine Ping-Antwort bekomme ... und finde, das ist nicht ok.

[romulus]

also ich nicht der Netzwerkexperte, aber der router routet doch überhaupt nicht. wenn du nur das Routing im Kernel ausschaltest und den Rechner auf einer seiner 3 Adressen anpingst, dann antwortet er halt. Er hat das Paket ja noch gar nicht an einen anderen Rechner weitergeroutet.

Das würde ich jetzt mal in meiner Naivität behaupte, wenn es falsch ist, belehrt mich eines besseren

[ridcully]

Soweit die Theorie. Ich wünschte es wäre so. Mein Router "routet" eben auch, wenn das Routing abgeschaltet ist. ... und das soll er nicht.

[romulus]

ich meinte ja grade, dass dies KEIN Routing ist, da es sich ja um denselben Rechner handelt, er dafür also gar nicht routen muss. Ping doch mal von einer IP des einen Netzes != Router eine andere IP eines anderen Netzes != Router an. Wenn das nicht funktioniert ist doch alles ok.

[spiffi]

Zunächst funktionierte es auch so, wie ich denke, nach einem Neustart des Rechners allerdings trat dieses Phenomen auf.

Hast Du mal nachgeschaut, ob IP Forwarding nach dem Neustart immer noch deaktiviert ist?
Was passiert, wenn Du von 192.168.2.x einen anderen Rechner als den Router im 192.168.1.x Netz pingst?

[ridcully]

Naja - da lag genau das Problem, dass ich von einem in das andere Netz pingen konnte, obwohl Routing deaktiviert war. Inzwischen aber ist das Problem nicht wieder aufgetaucht. Eine Nacht darüber schlafen ... und alles ist o.k. Ich finde das zwar recht beunruhigend, man kann nie sicher sein, dass es nicht wieder auftritt, aber ich werde es vorerst auf sich beruhen lassen. Vielleicht findet sich ja irgendwann irgendwie eine Erklärung.
Euch allen erstmal vielen Dank für Eure Bereitschaft zu helfen.