problem s BINDem / dhclient

Dan Lukes dan at obluda.cz
Wed May 1 12:26:36 CEST 2019


Miroslav Lachman wrote on 30. 4. 2019 23:50:
> Ja tam prave quick mam:
> 
> ## Deny all non routable trafic on external interface
> block log quick on $ext_if inet from <reserved> to any
> block log quick on $ext_if inet from any to <reserved>

Aha, to jsme se v tom nakonec nejak ztratil.

> pass in quick on $ext_if proto udp from port 67 to port 68
> pass out quick on $ext_if proto udp from port 68 to port 67
> 
> Puvodne jsem si do pravidel dal obe varianty a pak kouknul na pftop 
> statistiky, ktera pravidla se skutecne pouzivaji.

Asi to povoluje nejake jine pravidlo ...

Ja treba na infrastrukturnich strojich, ktere nemaji bezne uzivatele se 
shellem odchozi komunikaci neomezuju vubec (=mam ji kompletne 
povolenou). Pak samozrejme resim jen pravidla "dovnitr".

>> BIND po startu zahodi root prava a prepdne se na uzivatele 'bind'. Ale 
>> na portech <1024 muze poslouchat jen root - zrejme proto ten EPERM.
> 
> A nemelo by se to pak stejne chovat jak pro UDP, tak pro TCP?

Mozna ne - rozdil muze byt v tom, ze na TCP ma BIND aktivni accept() a 
ten pro ztrate adresy zhavaruje (a pro nedostatek prav uz se z toho 
nejde vzpamatovat), kdezto UDP nic takoveho nema - muze tedy ztratu 
adresu prezit bez nasledku.

Ale nepokousel jsme se tuto hypotezu proverit.

Dan


More information about the Users-l mailing list