On 29.1.2010, at 16:56, Zbyněk Burget wrote: > >> >> >> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy. > > Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde divne > to, co vlastne chces blokovat z tech jailu. Porad to na mne dela dojem, ze > resis neco nejak divne. Nejspis resis dusledek a ne pricinu. A to nekdy da > hrozne moc prace. Jednodussi by mozna bylo sem napsat, ceho presne chces > dosahnout a urcite ti nekdo poradi, jak toho dosahnout.
No hlavnim ucelem je pochopit, jak vlastne sitovani mezi jaily funguje. Druhym ucelem je to, ze chci mit (relativne) neduveryhodneho spravce jailu, takze by se mi potencialne hodilo omezit, co muze a nemuze na siti provadet. Nehlede na to, ze se obecne docela hodi povolit jailu pristup skutecne jen k tem sluzbam, ktery ma vyuzivat - aby v pripade, ze je kompromitovanej, neziskal utocnik pristup k nejakym sluzbam, ktere maji byt k dispozici prave jen nekterym (jinym) jailum... Takze ted uz vim, ze se to musi udelat na zaklade IP adresy a nejde to treba tak, ze by kazdy jail mel svoje tapX a podle toho by se filtrovalo. > > Pruchod packetu routerem (pokud je zdrojovym nebo cilovym strojem router, > odmysli si prislusnou cast grafu od nebo po kernel. > > drat --- in iface --- [firewall layer 2] --- firewall layer 3 --- kernel --- > firewall layer 3 --- [firewall layer 2] --- out iface --- drat > No, tak to je presne tak, jak jsem se nakonec domnival. A jeste takhle: aplikace --- kernel --- firewall layer 3 --- [firewall layer 2] --- out iface --- drat pricemz se nerozlisuje, jestli aplikace je nebo neni v jailu. Jediny, cemu teda jeste nerozumim, je "privilegovanost" lo0 (oproti napr. lo1). MP -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
