On 01/29/10 12:34, Miroslav Prýmek:
Takze jestli to spravne chapu, paket smerujici z jailu dostane jako zdrojovou
adresu lo1 (tu, kterou vidi),
Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi
jednu jedinou IP adresu "nevidi" dokonce ani lo0 a jeho 127.0.0.1
ale pres lo1 nejde (vubec s nim vlastne nema nic spolecnyho).
On pres nej fakt nejde - priponem si obrazek co jsem tu namaloval
posledne a predstav si, ze smerem pres karty A poslu paket ve kterem
jako zdrojovou adresu pouziju adresu z interface B. Ten paket normalne
odejte - ale interface B s tim opravdu nemelo cokoliv do cineni.
O odchozich spojeni je jako zdrojova adresa typicky vybrana primarni IP adresa
odchoziho interface.
Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko
poslouchajici na vsech
adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket
nebude vubec filtrovatelnej
pravidlem, ktery by uvadelo, ze funguje na fxp0 (protoze pres nej paket ani
neprichazi ani neodchazi).
Takovy paket skutecne nemel se sitovym interfacem fxp0 nic spolecneho.
Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
To's nastolil zajimavou otazku. Kdyz ti reknu, ze takovy paket, kdybys
ho chtel videt tcpdumpem, tak ho uvidis prave kdyz budes poslouchat na
lo0, tak to veci asi spis zatemnim, nez osvetlim, co ?
Na to je potreba si namalovat pruchod paketu systemem
A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi
a na kterych mistech firewally
vlastne operuji?
Vsechny grafy, ktere jsem kdy videl, byly neuplne, protoze se vzdycky
zabyvaly jen necim. Neznam hotovy graf, ktery by obsahoval hooky pro PF,
IPFW, ALTQ, IPSEC, ... a tim umoznoval efektivne badat nad problemy
souvisejicimi se vzajemnymi interakcemi techto komponent.
Ale muzeme se pokusit takovy vytvorit. Sam bych ho pak obcas pouzil. I
me obcas takovy chybi.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
