Jaily a jedna IP [delsi mail]
Dan Lukes
dan at obluda.cz
Fri Jan 29 11:43:20 CET 2010
On 01/29/10 08:23, Miroslav Prýmek:
> 1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo ne-jailu) vznika V KERNELU a jde
> pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a ne v "in")
Ano. A nejde dokonce o spojeni, ale proste o jakykoliv odchazejici
paket. Interface, na kterem je evidovana IP adresa, ktera je v tom
paketu pouzita jako "source" nehraje v procesu naprosto zadnou roli
(teda, krome te, ze je na nem evidovana ta adresa).
> 2. takze prvni paket z "telnet 74.125.87.99 80" proste vznikne v kernelu, pak se objevi v "fxp0 out"
> - a jedinej rozdil jailu je v tom, ze jako zdrojova IP se tam da ta adresa, kterou ma jail k dispozici
O odchozich spojeni je jako zdrojova adresa typicky vybrana primarni IP
adresa odchoziho interface. To by v pripade jailu mela byt "ta jeho
jedinna". A takovy paket by mel opustit kernel smerem k odchozimu
interfacu (dle routovaci tabulky) a pres nej opustit pocitac.
Pokdu an nej ma po ceste sahnout nejaky filtr, musi to byt filtr
zapojeny do teto cesty.
>> Druhy problem je pak tusim v tcpdumpu, ktery pro "lo" nezobrazuje nic.
To neni pravda - zkus si dat telnet 127.0.0.1. Ale ano, je pravda, ze
neuvidis pakety, ktere pri sve ceste az k lo0 nedorazi. V tom ale enni
lo0 vyjimecny. Vem si beznou konfiguraci routeru
+---------+
| |
A -------+ ROUTER +--------B
| |
+---------+
Zkus tcpdumpem poslouchat na strane B a pak ze strany A udelat telnet na
IP adresu sitove karty na strane B. Taky nic neuvidis - protoze paket je
zpracovan, opustit pocitac pres sitovou kartu B se nechysta - a tak ho
tcpdumpem na ni neni mozne spatrit.
loX funguje stejne, s tim rozdilem, ze u nej neprichazi v uvahu, ze by
nekdo dokazal zvenku poslat nejaky paket dovnitr skrz nej ...
loX je ve vetsien pripadu v situaci toho "vzdalenejsiho interface" na
kterem obvykle neni nic videt.
(pro stouraly - kdyz pisu, ze mate udelat telnet, tak myslim skutecne
telnet - a ne ping a nenutte me to tady komplikovat vysvetlenim proc se
ten chova vyjimecne jinak)
> Potvrzuju, vyzkouseno. Nicmene to neresi, proc nejsou blokovany pakety odchazejici z jailu, kdyz tam mam "block drop log on lo1 all"
Jak si spravne pamatujes, pf prakticky nepouzivam. Presto si ale myslim,
ze to je prakticky jasne. Pokud vim, tak to 'lo1' ve vyse uvedenem
znamena "paket prisel pres/chysta se odejit pres lo1"
Ale paket vznikly na tomto pocitaci pres lo1 neprisel a uz vubec se pres
nej nechysta odejit. Jak uz shora vysloveno, lo1 v zivote toho paketu
nehraje zadnou roli, krome toho, ze paket ma ve zdrojove adrese napsanou
tu, ktera je evidovana na rozhrani lo1 - jenze - paket s takovou
zdrojovou adresou dokazu poslat i ja, ted hned, od sebe z domova. A
dokonce ho dokazu od sebe poslat na tvuj pocitac, takze na tve vstupni
karte se ten paket nakonec objevi. Presto je nad slunce jasne, ze ten
paket nema s tvym lo1 naprosto nic spolecneho, i kdyz zdrojova adresa je
cirou nahodou stejna jako tak, kterou mas na lo1 evidovanou.
Pocitace maji tu blbou vlastnost, ze nedelaji co chceme, ale to co
rekneme. Tys patrne nechtel v pravidle mluvit o paketech, ktere prisly
(odesly) pres lo1 (pokud ano, tak zjisteni, ze takove zadne nejsou je
spravne), ale o paketech, ktere maji ve zdrojove nebo v cilove IP adrese
uvedenu tu, ktera je evidovana na interfacu lo1, nicht wahr ?
Nojo, pak ale musis napsat tohle a ne neco jineho ;-)
> (i kdyz porad me zajima, jak presne to cely teda funguje...)
Na to je potreba si namalovat pruchod paketu systemem a vedet, v kterych
mistech jsou "pripojne body" ve kterych operuje pf. Protoze tady uz
zalezi na poradi operaci, ktere jsou s paketem provedeny ...
Dan
More information about the Users-l
mailing list