[Eisfair] arpwatch: Umbau des Paketes auf systemd

[Kay Martinen]

Am 29.10.23 um 13:54 schrieb Marcus Röckrath:

> Dirk Alberti wrote:
> 
>>>> Da ich 2 Netzwerkkarten habe, musste ich das zu überwachende Device in
>>>> den Args angeben ( -i <Netdevice> ).
>>>
>>> Welches Device packt er sich denn, wenn du das Device nicht angibst? Das
>>> erste, alle ein ebeliebiges? Ich habe nur eine Karte in der Kiste.

Ich hatte arpwatch mal vor ewigkeiten auf einem debian und da hatte ich 
probleme als ich eine zweite Karte hinzu fügte. Da war der Default 
möglicherweise aber auch noch "alle" was bei 'arp' ja generell auch 
keinen sinn macht. Denn das sollte man schon auf netzgrenzen limitiert 
behalten. Wenn man beispielsweise LAN und WLAN getrennt dran hängte 
bringt es eh keine Flip-Flop o.a. Nachricht weil die unterschiedlichen 
NICs auch unterschiedliche MACs haben. Host-zuordnung geht damit also eh 
nicht.


>> Tja, nun, keine Ahnung, wonach arpwatch das auswählt. Jedenfalls hatte
>> es von sich aus erstmal das Device genommen, mit dem nur der Server am
>> Speedport hängt.

> In der Manpage steht was von default-Device, wobei mit -i dann ein anderes
> bestimmbar ist; wie er allerdings das Defaultdevice ermittelt, sieht man
> nicht so richtig.

Tippe auf das device das eine default-route hat.


>> Wenn ich beim googeln richtig gelesen (oder eher überflogen) habe, kann
>> arpwatch nur jeweils ein Device überwachen. Für mehrere müssten auch
>> mehrere Instanzen aufgemacht werden, mit jeweils einer eigenen ***.dat

Ja, das hat mich beim letzten Einsatz auch irritiert. Früher kam ein 
arpwatch bei mehr als einer NIC durcheinander. Jetzt könnte das auch 
passieren wenn es noch möglich ist EINEN daemon auf mehrere Interfaces 
an zu setzen.

> Man kann arpwatch für beliebieg viele Devices einzeln starten, habe mich
> aber auf eines mit arp.dat als "Log"-Datei beschränkt, was erstmal
> ausreichend sein sollte.

AFAIR kann man auch den mail-from nach interface setzen damit man die 
meldungs-mails vom daemon dem interface besser zuordnen kann. Der 
Default in dem bereich war mir damals nicht eindeutig genug.

> Übrigens habe ich auch ein zweitees Unitfile von der SuSE mitgeliefert:
> arpwatch@,service.
> 
> Manuell könnte man es nutzen, indem man es z. B. so aufruft:
> 
> service start arpwatch at eth0

> also hinter das @ den Namen des Devices (laut ifconfig) anhängt.

Da wäre mir definitiv lieber wenn es nur namen wie eth0 oder eth1 gäbe, 
auch in den meldungen. Bei 'enx94de80b15975' weiß man doch nach 1 Stunde 
schon nicht mehr welche Interface in welches Netz das nun gleich war.

Und da ist mir die Eindeutigkeit der Namen schnurz wenn ich mir leichter 
merken kann das eth0 das Basisnetz ist und eth1 z.b. ein Eingeschränktes.

> Das dat-File lautet dann z. B. /var/lib/arpwatch/arp.dat.eth0.

Das sollte der daemon m.E. selbst anlegen und beim umbenennen des 
interfaces die datei auch umbenennen.


>>>> FTP-Download-Link, keinerlei Doku oder man-Page, was man sich als User
>>>> da eher erhofft.

>>> Das ist die offizielle Homepage des Paketes, die wir immer in unsren
>>> Paketen angeben, unabhängig davon, wie weit die Infos gehen.
>>
>> Achso, ok, also reine Quellenangabe.

Ich hab es als kleines Tool in Erinnerung das man leicht mit einem 
angepassten script aus 'skeleton' selbst startfähig machen kann. Nun, 
heute eben eine unit, pro interface eine...

Aber man kann heute ja alles beliebig aufbauschen. :-)

IMHO lief das früher auch einfach mal automagisch aus 
/etc/network/if-post-up (oder so) wo man scripte ablegen/verlinken 
könnte die aktiviert werden wenn das interface hoch kam. Die bekamen IMO 
das interface als Parameter und so konnte der dienst abhängig vom 
aktiven if (auch mehrmals) starten. Umgekehrt gab's einen pre-down 
ordner zum beenden.

Ｂｙｅ／
    ／Ｋａｙ

-- 
"Kann ein Wurstbrot die Welt retten?" :-)