Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : mitrohin a.s.                        2:5020/400     22 Aug 2006  13:35:24
 To : Eugene Grosbein
 Subject : Re: firewall
 -------------------------------------------------------------------------------- 
 
 On Mon, Aug 21, 2006 at 03:56:21PM +0400, Eugene Grosbein wrote:
 
 > 21 авг 2006, понедельник, в 11:35 KRAST, mitrohin a.s. написал(а):
 > 
 >  mas>> почему бы тогда и не обрезать эти пакеты пораньше?
 >  >> И они "обрезаются пораньше".
 >  mas> со входящими понятно. но исходящие-то видно на правилах firewall-а, 
 >  mas> значит все равно смысл есть - маленький такой.
 > Зачем посылать в сеть исходящие пакеты с source ip 127.0.0.1?
 > 
 
 у меня нет уважительной причины.
 
 >  mas>> хотя честно признаться на всех машинах у меня 200-ое правило
 >  mas>> с 0-ым счетчиком ;)
 >  >> Hаверное, тому есть причина? :-)
 >  mas> ну можно тем же самым пингом накрутить там значений ;P
 > 
 > Зачем?
 >
 
 не важно - зачем, важно - можно. если уж быть до конца последовательными,
 freebsd-шники должны были не допускать такие пакеты до out правил, не так
 ли. ;) но вот как-то не сложилось и нужно их фильтровать или нет - не так
 и однозначно.
 
 >  mas>> но польза от 100-го правила есть.
 >  mas>> зачем прогонять по списку правил и создавать например динамические
 >  mas>> правила 
 >  mas>> на пакеты, которых довольно много и которые легко можно отсеч в самом
 >  mas>> начале?
 >  >> Этим ip_input и занимается.
 >  mas> так и не смог придумать, как же сгенерирывать пакет с исходным адресом
 >  mas> 127.0.0.1. вырезал нафиг эту проверку из ядра - вроде ничего не
 >  mas> сломалось.
 >  mas> мешают прострелить ногу. и никаких фенечек порулить этим нет.
 > 
 > Одно дело простреливание ноги при желании странного, другое - грубое
 > нарушение RFC, запрещающего появление таких пакетов on wire.
 > 
 > А сгенерировать можно, открывай raw socket и формируй пакет.
 >
 
 надо полагать, ip пакет из raw socket в обход ip_input/ip_output пойдет?
 надо будет попробовать. не верю я.
 
 /swp
 --- ifmail v.2.15dev5.3
  * Origin: BSPU InterNetNews site (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: firewall   mitrohin a.s.   22 Aug 2006 13:35:24 
Архивное /ru.unix.bsd/3499d6d96d4b.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional