On 29.1.2010, at 13:03, Miroslav Lachman wrote: > Miroslav Prýmek wrote: > > No a proto uz jsem predtim psal, ze takove veci lepsi v pravidlech PF mit > podle IP adres.
Ok. Kdyz ja si vzdycky potrebuju vyzkouset, proc... >> >> Trochu jsem googloval "FreeBSD network stack" "freebsd kernel internals" >> apod, ale nic nazornyho jsem nenasel. >> Existuje nejaky online dostupny podrobnejsi text, ktery by popisoval, co se >> v jadre deje? >> (trochu neco jako The McKusick: Design and Implementation of the FreeBSD >> Operating System) >> >> Popr. knizka, ktera by byla trochu aktualnejsi nez ten McKusick (ta je tusim >> o verci 5 nebo 6...) >> >> A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem >> chodi a na kterych mistech firewally >> vlastne operuji? > > Pro tyhle veci bude asi lepsi / dostacujici, najit nekde dokumentaci k PF. > Tam se tohle taky popisovalo. Jednou jsem to nekde na netu videl, ale uz si > ani nevzpomenu, jak se to jmenovalo a jestli to bylo v souvislosti s FreeBSD > a nebo mozna spis nekde okolo OpenBSD, ze ktereho PF pochazi. Byly tam k tomu > nejake diagramy atd. dokonce jsem mozna nekde videl nastroj na vygenerovani > nejakeho diagramu na zaklade pf.conf, ale opet - nevim ani jak se to > jmenovalo. Jedna dokumentace, co jsem prochazel, je OpenBSD FAQ: http://www.openbsd.org/faq/pf/index.html a druha je Firewalling with OpenBSD's PF packet filter od P. Hansteena: http://www.bgnett.no/~peter/pf/en/pf-firewall.pdf Ani v jednom ale bohuzel nevidim nejakej prehlednej obrazek :( Chtelo by to asi spis fakt srozumitelnej popis sitovani v kernelu, nez navod k firewallu... -------------------- Nicmene jsem teda zkousel jeste neco jinyho a porad mi to nejak nejde do hlavy: [test:~]# /etc/rc.d/pf stop No ALTQ support in kernel ALTQ related functions disabled Disabling pf. No ALTQ support in kernel ALTQ related functions disabled pf disabled [test:~]# ifconfig lo1 create [test:~]# ifconfig lo1 10.0.2.1 netmask 0xffffff00 [test:~]# ifconfig fxp0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC> ether X inet 192.168.2.13 netmask 0xffffff00 broadcast 192.168.2.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active fxp1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC> ether X media: Ethernet autoselect (none) status: no carrier lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33204 lo1: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet 10.0.2.1 netmask 0xffffff00 [test:~]# nc -kl 10.0.2.1 5555 Potom v jinym okne spustim: [test:~]# tcpdump -i lo1 A v dalsim: [test:~]# echo "X" | nc 10.0.2.1 5555 ...tak tcpdump NIC nezobrazi, prestoze netcat vypise "X". Pritom pri stejnym postupu, akorat s lo0 a 127.0.0.1 tcpdump pakety vypise. Jedinej rozdil mezi lo0 a lo1 je snad v tom, ze lo0 ma i IPv6 nastaveni... ?!?! Vubec to nechapu, poradi nekdo? dik Mirek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
