Jaily a jedna IP

Miroslav Prýmek m.prymek at gmail.com
Fri Jan 29 15:06:25 CET 2010


On 29.1.2010, at 13:03, Miroslav Lachman wrote:

> Miroslav Prýmek wrote:
> 
> No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF mit podle IP adres.

Ok. Kdyz ja si vzdycky potrebuju vyzkouset, proc...

>> 
>> Trochu jsem googloval "FreeBSD network stack" "freebsd kernel internals" apod, ale nic nazornyho jsem nenasel.
>> Existuje  nejaky online dostupny podrobnejsi text, ktery by popisoval, co se v jadre deje?
>> (trochu neco jako The McKusick: Design and Implementation of the FreeBSD Operating System)
>> 
>> Popr. knizka, ktera by byla trochu aktualnejsi nez ten McKusick (ta je tusim o verci 5 nebo 6...)
>> 
>> A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi a na kterych mistech firewally
>> vlastne operuji?
> 
> Pro tyhle veci bude asi lepsi / dostacujici, najit nekde dokumentaci k PF. Tam se tohle taky popisovalo. Jednou jsem to nekde na netu videl, ale uz si ani nevzpomenu, jak se to jmenovalo a jestli to bylo v souvislosti s FreeBSD a nebo mozna spis nekde okolo OpenBSD, ze ktereho PF pochazi. Byly tam k tomu nejake diagramy atd. dokonce jsem mozna nekde videl nastroj na vygenerovani nejakeho diagramu na zaklade pf.conf, ale opet - nevim ani jak se to jmenovalo.

Jedna dokumentace, co jsem prochazel, je OpenBSD FAQ: http://www.openbsd.org/faq/pf/index.html
a druha je Firewalling with OpenBSD's PF packet filter od P. Hansteena: http://www.bgnett.no/~peter/pf/en/pf-firewall.pdf

Ani v jednom ale bohuzel nevidim nejakej prehlednej obrazek :(
Chtelo by to asi spis fakt srozumitelnej popis sitovani v kernelu, nez navod k firewallu...

--------------------

Nicmene jsem teda zkousel jeste neco jinyho a porad mi to nejak nejde do hlavy:

[test:~]# /etc/rc.d/pf stop
No ALTQ support in kernel
ALTQ related functions disabled
Disabling pf.
No ALTQ support in kernel
ALTQ related functions disabled
pf disabled
[test:~]# ifconfig lo1 create
[test:~]# ifconfig lo1 10.0.2.1 netmask 0xffffff00
[test:~]# ifconfig
fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
	ether X
	inet 192.168.2.13 netmask 0xffffff00 broadcast 192.168.2.255
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
fxp1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
	options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
	ether X
	media: Ethernet autoselect (none)
	status: no carrier
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204
lo1: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
	inet 10.0.2.1 netmask 0xffffff00 
[test:~]# nc -kl 10.0.2.1 5555

Potom v jinym okne spustim:
[test:~]# tcpdump -i lo1

A v dalsim:
[test:~]# echo "X" | nc 10.0.2.1 5555

...tak tcpdump NIC nezobrazi, prestoze netcat vypise "X".

Pritom pri stejnym postupu, akorat s lo0 a 127.0.0.1 tcpdump pakety vypise.
Jedinej rozdil mezi lo0 a lo1 je snad v tom, ze lo0 ma i IPv6 nastaveni... ?!?!
Vubec to nechapu, poradi nekdo?

dik

Mirek 



More information about the Users-l mailing list