|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene Grosbein 2:5006/1 15 Aug 2006 23:06:13
To : mitrohin a.s.
Subject : Re: firewall
--------------------------------------------------------------------------------
15 авг 2006, вторник, в 18:35 KRAST, mitrohin a.s. написал(а):
VD>> 10 allow all from any to any via ${loopback_iface}
VD>> 20 drop all from ${loopback_address} to any
>> Уже пять лет (с 4.4-RELEASE) эти правила не более чем архитектурное
>> излишество, потому что ip_input.c в соостветствии с RFC 1122 безусловно
>> гробит пакеты с loopback_address, за исключением пришедших через
>> loopback_iface.
mas> 00100 7421932 2372806719 allow via lo0
mas> 00200 0 0 deny { src-ip 127.0.0.0/8 or dst-ip
mas> 127.0.0.0/8 }
mas> ...
mas> sh-2.05b# ping -S 127.0.0.1 swp.pp.ru
mas> PING swp.pp.ru (83.246.136.144) from 127.0.0.1: 56 data bytes
mas> ping: sendto: Permission denied
ip_input.c имеет дело со входящими пакетами, а не с исходящими.
mas> получается в ip_input() пакеты попадают после фильтрации?
Входащие пакеты туде попадают до фильтрации afaik.
mas> почему бы тогда и не обрезать эти пакеты пораньше?
И они "обрезаются пораньше".
mas> хотя честно признаться на всех машинах у меня 200-ое правило
mas> с 0-ым счетчиком ;)
Hаверное, тому есть причина? :-)
mas> но польза от 100-го правила есть.
mas> зачем прогонять по списку правил и создавать например динамические
mas> правила
mas> на пакеты, которых довольно много и которые легко можно отсеч в самом
mas> начале?
Этим ip_input и занимается.
Eugene
--
За то, что сердце в человеке
Hе вечно будет трепетать
--- slrn/0.9.8.0 (FreeBSD)
* Origin: Svyaz Service JSC (2:5006/1@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
Eugene Grosbein |
15 Aug 2006 23:06:13 |
|
|
