Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : mitrohin a.s.                        2:5020/400     21 Aug 2006  12:35:44
 To : Eugene Grosbein
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 
 On Tue, Aug 15, 2006 at 11:06:13PM +0400, Eugene Grosbein wrote:
 
 > 15 авг 2006, вторник, в 18:35 KRAST, mitrohin a.s. написал(а):
 > 
 >  VD>> 10 allow all from any to any via ${loopback_iface}
 >  VD>> 20 drop all from ${loopback_address} to any
 >  >> Уже пять лет (с 4.4-RELEASE) эти правила не более чем архитектурное
 >  >> излишество, потому что ip_input.c в соостветствии с RFC 1122 безусловно
 >  >> гробит пакеты с loopback_address, за исключением пришедших через
 >  >> loopback_iface.
 > 
 >  mas> 00100  7421932  2372806719 allow via lo0
 >  mas> 00200        0           0 deny { src-ip 127.0.0.0/8 or dst-ip
 >  mas> 127.0.0.0/8 }
 >  mas> ...
 >  mas> sh-2.05b# ping -S 127.0.0.1 swp.pp.ru
 >  mas> PING swp.pp.ru (83.246.136.144) from 127.0.0.1: 56 data bytes
 >  mas> ping: sendto: Permission denied
 > 
 > ip_input.c имеет дело со входящими пакетами, а не с исходящими.
 > 
 >  mas> получается в ip_input() пакеты попадают после фильтрации?
 > 
 > Входащие пакеты туде попадают до фильтрации afaik.
 > 
 
 да - надо признать не попадают. и режет их в этом случае уже tcp_output()
 тем же самым кодом. permisson denied дает зарезание firewall-ом,
 и ping: sendto: Can't assign requested address - если рубит tcp_output().
 
 >  mas> почему бы тогда и не обрезать эти пакеты пораньше?
 > 
 > И они "обрезаются пораньше".
 > 
 
 со входящими понятно. но исходящие-то видно на правилах firewall-а, 
 значит все равно смысл есть - маленький такой.
 
 >  mas> хотя честно признаться на всех машинах у меня 200-ое правило
 >  mas> с 0-ым счетчиком ;)
 > 
 > Hаверное, тому есть причина? :-)
 > 
 
 ну можно тем же самым пингом накрутить там значений ;P
 
 >  mas> но польза от 100-го правила есть.
 >  mas> зачем прогонять по списку правил и создавать например динамические
 >  mas> правила 
 >  mas> на пакеты, которых довольно много и которые легко можно отсеч в самом
 >  mas> начале?
 > 
 > Этим ip_input и занимается.
 > 
 
 так и не смог придумать, как же сгенерирывать пакет с исходным адресом
 127.0.0.1. вырезал нафиг эту проверку из ядра - вроде ничего не сломалось.
 мешают прострелить ногу. и никаких фенечек порулить этим нет.
 
 /swp
 --- ifmail v.2.15dev5.3
  * Origin: BSPU InterNetNews site (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: firewall   mitrohin a.s.   21 Aug 2006 12:35:44 
 firewall   Leizer A. Karabin   21 Aug 2006 20:26:19 
Архивное /ru.unix.bsd/34999843986f.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional