[wlanfhain] Re: IP-Vergabe

Arne Hoffmann arne
So Okt 10 20:05:46 CEST 2004


Jens Nachtigall wrote:

> > Ich habe dabei kein gutes Gef?hl. Viele Leute konfigurieren ihre
> > Paketfilter so, da? sie keine Pakete aus den reservierten IP-Ranges
> > durchlassen, weil von da eigentlich nichts kommen darf. Und wenn doch
> > was kommt, ist es vermutlich ein Spoofing-Versuch.
> 
> In diesem Fall w?ssten diese Leute, dass 104.0.0.0/8 das Berlin-Netz ist 
> und k?nnen diese eine Regel ?ndern. Das ist nat?rlich ein Nachteil (f?r 
> die Leute, die so ihre Firewall konfiguriert haben), 

Ich denke dabei auch an fertig konfigurierte Paketfilter von Redhat, Suse
oder so ... eine zusätzliche Fehlerquelle. 


> > Ich denke, wir sollten (und k?nnen) mit den drei privaten Ranges nach
> > RfC1918 auskommen.
> 
> ?K?nnen? tun wir nat?rlich schon -- ?wollen? ist die Frage. Wenn wir 
> einen privaten Bereich nehmen, dann w?rde alles komplexer und 
> aufw?ndiger (mehr Arbeit, weniger Mitmachende):

Ich kann das noch nicht erkennen.


>  - m?ssen einige wegen Doppelvergabe (h?ufig bei 192.168.x.x) ihr 
> Hausnetz umstellen; 

Wenn wir den IP-Range verändern, dann müssen *alle* umstellen, oder? ;-)


> wenn wir 104/8 nehmen, dann kann auch vom Haus ins Berlin-Netz genattet
> werden.

Wie? NAT'en kann man doch immer. Ich NAT'e jetzt auch: intern 192.168.10.0/8
und extern 172.16.0.0/12. 

BTW: Ich will überhaupt nicht alle meine Rechner im Berliner Netz erreichbar
haben. Z.B. mein Desktop hat Zeitweise eine viel zu experimentelle Konfig um
ihn sicher in ein öffentliches Netz stellen zu können (komische offene
Dienste, NFS exporte, ...). 


>  - bei einer geographischen IP-Vergabe (zB 10.0.0.0/8 statt 104/8) 
> m?ssten alle ihr Hausnetz umstellen, d.h. im Klartext das eine 
> geographische Vergabe nicht m?glich w?re.

Den Satz verstehe ich echt nicht. 


>  - das Finden von Fehler wird schwieriger. Bei 104/8 wissen alle, dass 
> es das Berlin-Netz (drau?en) ist, und das private IPs drinnen sind. 

Bei 172.16.0.0/12 für das OLSR-Netz wissen alle, daß 172.16.0.0/12 das
Berliner Netz ist (draußen) und das die anderen beiden Ranges nach RFC1918
drinnen sind. 


> Es wird immer vorkommen, dass jemand versehentlich a) keinen NAT
> hinkriegt, b) ein privates Netz announced das schon vergeben ist etc. 

a) und b) können bei deiner Lösung auch vorkommen. Fehlkonfiguration und
schusselige Leute (die ausversehen bereits vergebene IPs nehmen) können bei
jeder beliebigen Lösung zu Problemen führen. Wirklich bei *jeder*. 







Mehr Informationen über die Mailingliste Berlin