информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Где водятся OGRыПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / beginners
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Господа, будьте снисходительны, не бросайтесь сразу штрафовать за, как вам кажется, глупые вопросы - beginners на то и beginners.
ipfw (freebsd) 31.10.03 07:28  Число просмотров: 1300
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
>Под me ipfw подразумевает текущий ip адрес,
> полученный при ppp соединении
да, или твой адрес полученый по дхцп
> Все же, может ли ipfw как-то идентифицировать пакеты,
> имеющий чужой source адрес, но отправленные с моего компа?
> А то такие пакеты всегда блокируются, если только не
> сделать первым правилом allow ip from any to any.
Ключевое слово в твоем вопросе - "отправленные". Сузить критерий поможет кейворд xmit
ipfw add 100 pass ip from any to any xmit
обозначает пропуск всех пакетов "имеющий чужой source адрес, но отправленные с моего компа"
<beginners>
ipfw (freebsd) 31.10.03 06:59   [makeworld]
Автор: makeworld Статус: Member
<"чистая" ссылка>
Когда с моего компа отправляется пакетом с source адресом не равным моему ip, и destination адресом не равным моему ip, ipfw классифицуруют его грубо говоря как 'from any to any'? Под me ipfw подразумевает текущий ip адрес, полученный при ppp соединении или это только для локалок, где все ip распределены заранее по интерфейсам?
Все же, может ли ipfw как-то идентифицировать пакеты, имеющий чужой source адрес, но отправленные с моего компа? А то такие пакеты всегда блокируются, если только не сделать первым правилом allow ip from any to any.
ipfw (freebsd) 31.10.03 10:03  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
естественно, если жестко прописаны правила для фильтрации пакетов, то "всё что не разрешено-запрещено".
> Когда с моего компа отправляется пакетом с source адресом
> не равным моему ip, и destination адресом не равным моему
> ip, ipfw классифицуруют его грубо говоря как 'from any to
> any'?

адреса сетевых интерфейсов на момент трансляции правил
> Под me ipfw подразумевает текущий ip адрес,
> полученный при ppp соединении или это только для локалок,
> где все ip распределены заранее по интерфейсам?

да, самый простой вариант - "ipfw add pass all from any to any out xmit <интерфейс>"
> Все же, может ли ipfw как-то идентифицировать пакеты,
> имеющий чужой source адрес, но отправленные с моего компа?
> А то такие пакеты всегда блокируются, если только не
> сделать первым правилом allow ip from any to any.
ipfw (freebsd) 31.10.03 07:28  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
>Под me ipfw подразумевает текущий ip адрес,
> полученный при ppp соединении
да, или твой адрес полученый по дхцп
> Все же, может ли ipfw как-то идентифицировать пакеты,
> имеющий чужой source адрес, но отправленные с моего компа?
> А то такие пакеты всегда блокируются, если только не
> сделать первым правилом allow ip from any to any.
Ключевое слово в твоем вопросе - "отправленные". Сузить критерий поможет кейворд xmit
ipfw add 100 pass ip from any to any xmit
обозначает пропуск всех пакетов "имеющий чужой source адрес, но отправленные с моего компа"
ipfw (freebsd) 01.11.03 06:42  
Автор: makeworld Статус: Member
<"чистая" ссылка>
> Ключевое слово в твоем вопросе - "отправленные". Сузить
> критерий поможет кейворд xmit
> ipfw add 100 pass ip from any to any xmit
> обозначает пропуск всех пакетов "имеющий чужой source
> адрес, но отправленные с моего компа"

добавил правило, а пакеты все равно не проходят. и в логе ipfw кстати тоже нет ничего по поводу 'Deny TCP <fake source addr>....'
ipfw (freebsd) 01.11.03 10:50  
Автор: butch Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> добавил правило, а пакеты все равно не проходят. и в логе
> ipfw кстати тоже нет ничего по поводу 'Deny TCP <fake
> source addr>....'
1. Вообще под me подразумеваются все текущие адреса на всех интерфейсах.
2 Может все же покажешь правила, а то так сложно, что либо сказать.
ipfw (freebsd) 01.11.03 10:41  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
тогда добавь правило ipfw add 1 count log all from any to any и посмотри есть ли трафик вообще.
ЗЫ
не помню в МИБе как это точно называется, но кажется что-то вроде
net.ip.fw.verbose. вот для того, чтобы ipfw записываля свои сообщения
в лог, этот параметр должен быть уствновлен в 1.
посмотри по sysctl

> добавил правило, а пакеты все равно не проходят. и в логе
> ipfw кстати тоже нет ничего по поводу 'Deny TCP <fake
> source addr>....'
ipfw (freebsd) 02.11.03 07:52  
Автор: makeworld Статус: Member
<"чистая" ссылка>
> тогда добавь правило ipfw add 1 count log all from any to
> any и посмотри есть ли трафик вообще.
> ЗЫ
> не помню в МИБе как это точно называется, но кажется
> что-то вроде
> net.ip.fw.verbose. вот для того, чтобы ipfw записываля
> свои сообщения
> в лог, этот параметр должен быть уствновлен в 1.
> посмотри по sysctl

трафик то идет и сообщения ipfw в лог пишутся:
$ sysctl -a | grep fw.verbose
net.inet.ip.fw.verbose: 1
net.inet.ip.fw.verbose_limit: 100
Я имел в виду что сообщения о блокировке пакетов с левым source адресом в лог не попадают, т.е. он как-бы проходит файрвол.

2 butch:
# ipfw l
00100 divert 8668 ip from any to any via tun0
00150 allow ip from any to any out xmit tun0
00200 allow ip from any to any via lo0
00300 allow tcp from any to any out xmit tun0 setup
00400 allow tcp from any to any via tun0 established
00500 reset log tcp from any to any dst-port 113 in recv tun0
00600 allow udp from any to <primary dns> dst-port 53 out xmit tun0
00700 allow udp from any to <secondary dns> dst-port 53 out xmit tun0
00800 allow udp from <primary dns> 53 to any in recv tun0
00900 allow udp from <secondary dns> 53 to any in recv tun0
65435 allow icmp from any to any
65435 deny log ip from any to any
65535 deny ip from any to any
ipfw (freebsd) 03.11.03 14:19  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
и что в этом странного?
естесственно в класс "any" попадают ВСЕ пакеты.
так что через правило 150 у тебя они и улетают

> Я имел в виду что сообщения о блокировке пакетов с левым
> source адресом в лог не попадают, т.е. он как-бы проходит
> файрвол.
>
> 2 butch:
> # ipfw l
> 00100 divert 8668 ip from any to any via tun0
> 00150 allow ip from any to any out xmit tun0
ipfw (freebsd) 04.11.03 06:38  
Автор: makeworld Статус: Member
<"чистая" ссылка>
> и что в этом странного?
> естесственно в класс "any" попадают ВСЕ пакеты.
> так что через правило 150 у тебя они и улетают
В том то и дело, что никуда они не улетают. А надо чтобы улетали. Правило 150 тестовое, перекрывает почти все правила идущие после него, было добавлено только для примера.
ipfw (freebsd) 04.11.03 09:21  
Автор: RazDolBai Статус: Member
<"чистая" ссылка>
ок, а откуда ты знаешь что пакеты "никуда не улетают"?
я так понимаю у тебя модемное подключение к чему-то, а дальше?

> В том то и дело, что никуда они не улетают. А надо чтобы
> улетали. Правило 150 тестовое, перекрывает почти все
> правила идущие после него, было добавлено только для
> примера.
ipfw (freebsd) 05.11.03 06:53  
Автор: makeworld Статус: Member
<"чистая" ссылка>
> ок, а откуда ты знаешь что пакеты "никуда не улетают"?
> я так понимаю у тебя модемное подключение к чему-то, а
> дальше?
Насчет того что они никуда не улетают я прогнал. Почитал вчера маны и вот что вычитал:
из man ipfw:
Packets diverted to userland, and then reinserted by a userland process
(such as natd(8)) will lose various packet attributes, including their
source interface. If a packet is reinserted in this manner, later rules
may be incorrectly applied, making the order of divert rules in the rule
sequence very important.
из man natd:
It changes all packets destined for another host so that their source IP
number is that of the current machine. For each packet changed in this
manner, an internal table entry is created to record this fact. The
source port number is also changed to indicate the table entry applying
to the packet. Packets that are received with a target IP of the current
host are checked against this internal table. If an entry is found, it
is used to determine the correct target IP number and port to place in
the packet.

Так что походу natd просто изменяет source адрес на реальный.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach