Dne 29.1.2010 12:34, Miroslav Prýmek napsal(a):
Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko poslouchajici na vsech adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket nebude vubec filtrovatelnej pravidlem, ktery by uvadelo, ze funguje na fxp0 (protoze pres nej paket ani neprichazi ani neodchazi).
Naprosto presne. A pokud se nepletu, tak by byl filtrovatelnej na lo0 ;-)
Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde divne to, co vlastne chces blokovat z tech jailu. Porad to na mne dela dojem, ze resis neco nejak divne. Nejspis resis dusledek a ne pricinu. A to nekdy da hrozne moc prace. Jednodussi by mozna bylo sem napsat, ceho presne chces dosahnout a urcite ti nekdo poradi, jak toho dosahnout. Vetsinou potrebuju blokovat nejaky provoz v nejakem odchozim / prichozim smeru. A ano, pak mam povesena pravidla na konkretnich interfacech - jen se vetsinou nedivam na to, odkud ten packet prisel (to ma vyznam v nekolika malo pripadech). Podstatne je, aby se nejaky provoz nedostal do urciteho smeru nebo any nejaky provoz z urciteho smeru vubec na stroj nemohl. Rovnez sice nepouzivam PF, ale to v principu funkce firewallu a pruchodu packteu skrz nej nehraje naprosto zadnou roli.
A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi a na kterych mistech firewally vlastne operuji?
Pruchod packetu routerem (pokud je zdrojovym nebo cilovym strojem router, odmysli si prislusnou cast grafu od nebo po kernel.
drat --- in iface --- [firewall layer 2] --- firewall layer 3 --- kernel --- firewall layer 3 --- [firewall layer 2] --- out iface --- drat
pokud pustis tcpdump, divas se na tok v miste in / out iface. Zbynek -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
