|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : mitrohin a.s. 2:5020/400 15 Aug 2006 19:35:43
To : Eugene Grosbein
Subject : Re: firewall
--------------------------------------------------------------------------------
On Mon, Aug 07, 2006 at 06:17:48PM +0400, Eugene Grosbein wrote:
> VD> 10 allow all from any to any via ${loopback_iface}
> VD> 20 drop all from ${loopback_address} to any
>
> Уже пять лет (с 4.4-RELEASE) эти правила не более чем архитектурное
> излишество, потому что ip_input.c в соостветствии с RFC 1122 безусловно
> гробит пакеты с loopback_address, за исключением пришедших через
> loopback_iface.
>
хотя к сути вопроса о нужности фильтрования icmp это не имеет отношения,
но...
00100 7421932 2372806719 allow via lo0
00200 0 0 deny { src-ip 127.0.0.0/8 or dst-ip 127.0.0.0/8 }
...
sh-2.05b# ping -S 127.0.0.1 swp.pp.ru
PING swp.pp.ru (83.246.136.144) from 127.0.0.1: 56 data bytes
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
^C
- --- swp.pp.ru ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
bash-2.05b# ipfw -c show
00100 7425274 2374737983 allow via lo0
00200 5 420 deny { src-ip 127.0.0.0/8 or dst-ip 127.0.0.0/8 }
...
получается в ip_input() пакеты попадают после фильтрации? почему бы тогда
и не обрезать эти пакеты пораньше? хотя честно признаться на всех машинах
у меня 200-ое правило с 0-ым счетчиком ;), но польза от 100-го правила есть.
зачем прогонять по списку правил и создавать например динамические правила
на пакеты, которых довольно много и которые легко можно отсеч в самом начале?
так что не торопитесь удалять, сломать не сломается, но и лучше не станет.
/swp
--- ifmail v.2.15dev5.3
* Origin: BSPU InterNetNews site (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: firewall |
mitrohin a.s. |
15 Aug 2006 19:35:43 |
|
|
