Jaily a jedna IP
Miroslav Prýmek
m.prymek at gmail.com
Fri Jan 29 15:06:25 CET 2010
On 29.1.2010, at 13:03, Miroslav Lachman wrote:
> Miroslav Prýmek wrote:
>
> No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF mit podle IP adres.
Ok. Kdyz ja si vzdycky potrebuju vyzkouset, proc...
>>
>> Trochu jsem googloval "FreeBSD network stack" "freebsd kernel internals" apod, ale nic nazornyho jsem nenasel.
>> Existuje nejaky online dostupny podrobnejsi text, ktery by popisoval, co se v jadre deje?
>> (trochu neco jako The McKusick: Design and Implementation of the FreeBSD Operating System)
>>
>> Popr. knizka, ktera by byla trochu aktualnejsi nez ten McKusick (ta je tusim o verci 5 nebo 6...)
>>
>> A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi a na kterych mistech firewally
>> vlastne operuji?
>
> Pro tyhle veci bude asi lepsi / dostacujici, najit nekde dokumentaci k PF. Tam se tohle taky popisovalo. Jednou jsem to nekde na netu videl, ale uz si ani nevzpomenu, jak se to jmenovalo a jestli to bylo v souvislosti s FreeBSD a nebo mozna spis nekde okolo OpenBSD, ze ktereho PF pochazi. Byly tam k tomu nejake diagramy atd. dokonce jsem mozna nekde videl nastroj na vygenerovani nejakeho diagramu na zaklade pf.conf, ale opet - nevim ani jak se to jmenovalo.
Jedna dokumentace, co jsem prochazel, je OpenBSD FAQ: http://www.openbsd.org/faq/pf/index.html
a druha je Firewalling with OpenBSD's PF packet filter od P. Hansteena: http://www.bgnett.no/~peter/pf/en/pf-firewall.pdf
Ani v jednom ale bohuzel nevidim nejakej prehlednej obrazek :(
Chtelo by to asi spis fakt srozumitelnej popis sitovani v kernelu, nez navod k firewallu...
--------------------
Nicmene jsem teda zkousel jeste neco jinyho a porad mi to nejak nejde do hlavy:
[test:~]# /etc/rc.d/pf stop
No ALTQ support in kernel
ALTQ related functions disabled
Disabling pf.
No ALTQ support in kernel
ALTQ related functions disabled
pf disabled
[test:~]# ifconfig lo1 create
[test:~]# ifconfig lo1 10.0.2.1 netmask 0xffffff00
[test:~]# ifconfig
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether X
inet 192.168.2.13 netmask 0xffffff00 broadcast 192.168.2.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether X
media: Ethernet autoselect (none)
status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
lo1: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 10.0.2.1 netmask 0xffffff00
[test:~]# nc -kl 10.0.2.1 5555
Potom v jinym okne spustim:
[test:~]# tcpdump -i lo1
A v dalsim:
[test:~]# echo "X" | nc 10.0.2.1 5555
...tak tcpdump NIC nezobrazi, prestoze netcat vypise "X".
Pritom pri stejnym postupu, akorat s lo0 a 127.0.0.1 tcpdump pakety vypise.
Jedinej rozdil mezi lo0 a lo1 je snad v tom, ze lo0 ma i IPv6 nastaveni... ?!?!
Vubec to nechapu, poradi nekdo?
dik
Mirek
More information about the Users-l
mailing list