Miroslav Lachman wrote on 30. 4. 2019 23:50:
Ja tam prave quick mam:
## Deny all non routable trafic on external interface
block log quick on $ext_if inet from <reserved> to any
block log quick on $ext_if inet from any to <reserved>
Aha, to jsme se v tom nakonec nejak ztratil.
pass in quick on $ext_if proto udp from port 67 to port 68
pass out quick on $ext_if proto udp from port 68 to port 67
Puvodne jsem si do pravidel dal obe varianty a pak kouknul na pftop
statistiky, ktera pravidla se skutecne pouzivaji.
Asi to povoluje nejake jine pravidlo ...
Ja treba na infrastrukturnich strojich, ktere nemaji bezne uzivatele se
shellem odchozi komunikaci neomezuju vubec (=mam ji kompletne
povolenou). Pak samozrejme resim jen pravidla "dovnitr".
BIND po startu zahodi root prava a prepdne se na uzivatele 'bind'. Ale
na portech <1024 muze poslouchat jen root - zrejme proto ten EPERM.
A nemelo by se to pak stejne chovat jak pro UDP, tak pro TCP?
Mozna ne - rozdil muze byt v tom, ze na TCP ma BIND aktivni accept() a
ten pro ztrate adresy zhavaruje (a pro nedostatek prav uz se z toho
nejde vzpamatovat), kdezto UDP nic takoveho nema - muze tedy ztratu
adresu prezit bez nasledku.
Ale nepokousel jsme se tuto hypotezu proverit.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
