Jaily a jedna IP [delsi mail]

[Dan Lukes]

On 01/29/10 08:23, Miroslav Prýmek:
> 1. spojeni, ktery odchazi ze stroje (a je jedno! jestli z jailu nebo ne-jailu) vznika V KERNELU a jde
>     pres to rozhrani, ktery smeruje danym smerem (pricemz se objevi v "out" a ne v "in")

Ano. A nejde dokonce o spojeni, ale proste o jakykoliv odchazejici 
paket. Interface, na kterem je evidovana IP adresa, ktera je v tom 
paketu pouzita jako "source" nehraje v procesu naprosto zadnou roli 
(teda, krome te, ze je na nem evidovana ta adresa).

> 2. takze prvni paket z "telnet 74.125.87.99 80" proste vznikne v kernelu, pak se objevi v "fxp0 out"
>     - a jedinej rozdil jailu je v tom, ze jako zdrojova IP se tam da ta adresa, kterou ma jail k dispozici

O odchozich spojeni je jako zdrojova adresa typicky vybrana primarni IP 
adresa odchoziho interface. To by v pripade jailu mela byt "ta jeho 
jedinna". A takovy paket by mel opustit kernel smerem k odchozimu 
interfacu (dle routovaci tabulky) a pres nej opustit pocitac.

Pokdu an nej ma po ceste sahnout nejaky filtr, musi to byt filtr 
zapojeny do teto cesty.

>> Druhy problem je pak tusim v tcpdumpu, ktery pro "lo" nezobrazuje nic.

To neni pravda - zkus si dat telnet 127.0.0.1. Ale ano, je pravda, ze 
neuvidis pakety, ktere pri sve ceste az k lo0 nedorazi. V tom ale enni 
lo0 vyjimecny. Vem si beznou konfiguraci routeru

          +---------+
          |         |
A -------+ ROUTER  +--------B
          |         |
          +---------+

Zkus tcpdumpem poslouchat na strane B a pak ze strany A udelat telnet na 
IP adresu sitove karty na strane B. Taky nic neuvidis - protoze paket je 
zpracovan, opustit pocitac pres sitovou kartu B se nechysta - a tak ho 
tcpdumpem na ni neni mozne spatrit.


loX funguje stejne, s tim rozdilem, ze u nej neprichazi v uvahu, ze by 
nekdo dokazal zvenku poslat nejaky paket dovnitr skrz nej ...

loX je ve vetsien pripadu v situaci toho "vzdalenejsiho interface" na 
kterem obvykle neni nic videt.

(pro stouraly - kdyz pisu, ze mate udelat telnet, tak myslim skutecne 
telnet - a ne ping a nenutte me to tady komplikovat vysvetlenim proc se 
ten chova vyjimecne jinak)

> Potvrzuju, vyzkouseno. Nicmene to neresi, proc nejsou blokovany pakety odchazejici z jailu, kdyz tam mam "block drop log on lo1 all"

Jak si spravne pamatujes, pf prakticky nepouzivam. Presto si ale myslim, 
ze to je prakticky jasne. Pokud vim, tak to 'lo1' ve vyse uvedenem 
znamena "paket prisel pres/chysta se odejit pres lo1"

Ale paket vznikly na tomto pocitaci pres lo1 neprisel a uz vubec se pres 
nej nechysta odejit. Jak uz shora vysloveno, lo1 v zivote toho paketu 
nehraje zadnou roli, krome toho, ze paket ma ve zdrojove adrese napsanou 
tu, ktera je evidovana na rozhrani lo1 - jenze - paket s takovou 
zdrojovou adresou dokazu poslat i ja, ted hned, od sebe z domova. A 
dokonce ho dokazu od sebe poslat na tvuj pocitac, takze na tve vstupni 
karte se ten paket nakonec objevi. Presto je nad slunce jasne, ze ten 
paket nema s tvym lo1 naprosto nic spolecneho, i kdyz zdrojova adresa je 
cirou nahodou stejna jako tak, kterou mas na lo1 evidovanou.

Pocitace maji tu blbou vlastnost, ze nedelaji co chceme, ale to co 
rekneme. Tys patrne nechtel v pravidle mluvit o paketech, ktere prisly 
(odesly) pres lo1 (pokud ano, tak zjisteni, ze takove zadne nejsou je 
spravne), ale o paketech, ktere maji ve zdrojove nebo v cilove IP adrese 
uvedenu tu, ktera je evidovana na interfacu lo1, nicht wahr ?

Nojo, pak ale musis napsat tohle a ne neco jineho ;-)

> (i kdyz porad me zajima, jak presne to cely teda funguje...)

Na to je potreba si namalovat pruchod paketu systemem a vedet, v kterych 
mistech jsou "pripojne body" ve kterych operuje pf. Protoze tady uz 
zalezi na poradi operaci, ktere jsou s paketem provedeny ...

						Dan