Frage zu SuSE-Firewall2

Message

iweisnix · #1 Post by **iweisnix** » 19. May 2004 10:31

Ich Grüße Euch!
Es geht mir um die Meldungen in /var/log/messages wenn die Firewall2 ein Paket verwirft. Da stehen dann Angaben zur SRC-Adresse DST-Adresse ect. drin. Leider sind die Felder der SRC-MAC bzw. DST-MAC-Adresse leer. Das hat sicher einen guten Grund. Dennoch hätte ich diese Angeben gerne in dem Log-File stehen. Da ich noch nicht besonders fit mit Firewalls bin habe die ganz normale Standardkonfiguration über YAST eingestellt.

Mein Rechner hängt an DSL und läuft mit SuSE 9.1. (Kernel 2.6.x)
Dieses Verhalten war auch schon unter 8.2 (Kernel 2.4.x) so. Es war nichts in den MAC-Feldern gestanden.

Mir ist dann die Idee gekommen, daß es vielleicht daran liegt, daß die Netzwerkkarte nicht im Promisc.-Mode rennt. Also habe ich den mittels ifconfig eingeschalten, was aber keine Änderung brachte. Komischerweise kann Etherreal die "begehrten" Daten aber anzeigen [enable mac-address-rsolution]...

Auch ist meine ARP-Tabelle ständig leer. Wobei ARP aber doch zum Betrieb einer Netzwerkverbindung dringend gebraucht wird (OSI).

Kann es vielleicht daran liegen, daß ich an DSL hänge und pppoe das irgendwie anders macht ?

Für eine Erkärung dieses Verhaltens bzw. eine Lösung zum anzeigen des MAC-Feldes wäre ich dankbar.

Danke,
Michael

CheersMichael · #2 Post by **CheersMichael** » 19. May 2004 11:35

MAC-Adressen werden nur für die Kommunikation von Rechnern im gleichen Subnetz und für die mit Router verwendet. Wenn Du mit einer externen IP kommunizierst, wird nur die MAC-Adresse des Routers angezeigt. Dein Unterfangen macht also keinen Sinn.

Cheers

Michael

iweisnix · #3 Post by **iweisnix** » 19. May 2004 13:10

Hallo Michael,

danke für Deine Antwort. Wenn ich das also richtig verstanden habe, dann kann ich die MAC-Adresse des "anderen Endes" also nicht sehen, wenn ja, dann wäre es die des ersten Routers auf meinem Weg zum nächsten Server o.k.?

Dennoch, wenn ich mit etherreal auf dem Interface mitlese, dann werden da schon MAC-Adressen mitgeschrieben, welche das dann auch immer sein mögen. Es ist nicht nur eine, also die des ersten Routers, sondern verschiedene.

Also wenn ich meine Rechner im LAN angeworfen habe, und aktive Verbindungen aufgebaut habe, dann müsste ich doch mittels arp -a die entsprechende Tabelle sehen, oder liege ich da falsch ?

Mir geht es nur drum, im Ansatz zu verstehen, wie das zusammenhängt. Es sollte dann doch mindestens eine MAC-Adresse im Firewall-Log stehen...oder?

Grüße
Michael