информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Непонятный ТиСиПи коннекшн. 11.07.05 11:23  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
В логе файрвола:
inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)
Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к нему лезут с localhost.

И еще, как только запускается ФВ на DHCPшном серваке, DHCP отваливается, хотя ничего не запрещено. Как лечится?
0.0.0.0 это насколько я помню "все локальные интерфейсы" 11.07.05 11:43  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> В логе файрвола:
> inbound
> local address, service (0.0.0.0,2023)
> remote address, service (localhost,4942)
> Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к
> нему лезут с localhost.

То бишь прослушивается не один адрес, а все, в том числе и localhost. С localhost-а на него лезут потому, что localhost находится в одной подсети с собой. Короче в данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023 (если бы коннект был с другого интерфейса то и нули означали бы другой адрес)

> И еще, как только запускается ФВ на DHCPшном серваке, DHCP
> отваливается, хотя ничего не запрещено. Как лечится?
Скорее всего что то все таки запрещено. Ось хоть какая на серваке и какой ФВ?
То есть одна прога стучится к другой на этом же компе... 11.07.05 12:51  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> То бишь прослушивается не один адрес, а все, в том числе и
> localhost. С localhost-а на него лезут потому, что
> localhost находится в одной подсети с собой. Короче в
> данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023
> (если бы коннект был с другого интерфейса то и нули
> означали бы другой адрес)

То есть одна прога стучится к другой на этом же компе. Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ такой адрес корректно.
И еще прикол, есть правила пропускать все входящие и исходящие с/на localhost. Почему-то не сработало...

> > И еще, как только запускается ФВ на DHCPшном серваке,
> DHCP
> > отваливается, хотя ничего не запрещено. Как лечится?
> Скорее всего что то все таки запрещено. Ось хоть какая на
> серваке и какой ФВ?

Вин2000, ФВ - АтГуард.
Ага. 11.07.05 13:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> То есть одна прога стучится к другой на этом же компе.

Ага.

> Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ
> такой адрес корректно.

0.0.0.0 это адрес, указанный в вызове bind()
Набери

netstat -a -n

И увидишь, что почти все сетевые сервисы слушают именно на 0.0.0.0
Хотя в принципе большинство сервисов, которые я видел можно привязать к конкретному интерфейсу и тогда нетстат будет показывать адрес этого интерфейса.

А почему он не разрезолвился в конкретный интерфейс при коннекте - не знаю (нетстат для всех established соединений показывает на каком именно интерфейсе оно установлено). Если это ФВ матюкался так - то тем более не знаю, ибо юзаю outpost и он всегда показывает корректные адреса.

> И еще прикол, есть правила пропускать все входящие и
> исходящие с/на localhost. Почему-то не сработало...

Тоже не знаю, чего там atguard делает. Кстати, есть ли в atguard-е журнал с записями всех коннектов и названием/номером правила, которое было применено к данному коннекту (причина разрешения/запрета)?

> > серваке и какой ФВ?
>
> Вин2000, ФВ - АтГуард.

Должен быть лог коннектов где то. С указанием правил, примененных к этим коннектам. Больше я ничего по atguard-у сказать не могу, ибо никогда им не пользовался.
Когда "прослушка" все, то понятно, но когда коннект, то... 11.07.05 14:55  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> И увидишь, что почти все сетевые сервисы слушают именно на
> 0.0.0.0

Когда "прослушка" все, то понятно, но когда коннект, то почему 0.0.0.0.

> Хотя в принципе большинство сервисов, которые я видел можно
> привязать к конкретному интерфейсу и тогда нетстат будет
> показывать адрес этого интерфейса.
>
> А почему он не разрезолвился в конкретный интерфейс при
> коннекте - не знаю (нетстат для всех established соединений
> показывает на каком именно интерфейсе оно установлено).
> Если это ФВ матюкался так - то тем более не знаю, ибо юзаю
> outpost и он всегда показывает корректные адреса.

Он не матюгался, это в логе было.

> Тоже не знаю, чего там atguard делает. Кстати, есть ли в
> atguard-е журнал с записями всех коннектов и
> названием/номером правила, которое было применено к данному
> коннекту (причина разрешения/запрета)?
>
> > > серваке и какой ФВ?
> >
> > Вин2000, ФВ - АтГуард.
>
> Должен быть лог коннектов где то. С указанием правил,
> примененных к этим коннектам. Больше я ничего по atguard-у
> сказать не могу, ибо никогда им не пользовался.

Лог есть, но он туда напишет, когда правило сработало, если не сработало (а именно "разрешено все локально"), то и не напишет. Это я написал, как сработало правило "блокировать все остальное, если что-то ранее не было разрешено".
В данном случае именно прослушка. 11.07.05 16:32  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Когда "прослушка" все, то понятно, но когда коннект, то
> почему 0.0.0.0.

В данном случае именно прослушка.

"inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)"

Расшифровывается как "Входящее соединение с localhost:4942 на 0.0.0.0:2023". То есть прослушивающей (принимающей) стороной был именно "local address". Почему AtGuard не разрезолвил это в конкретный интерфейс, который должен принять коннект неясно. Может он просто смотрит какой из прослушиваемых сокетов должен принять входящее соединение и выдает в том виде, в котором получает от системы. Может еще что-нибудь. В любом случае, это проблема AtGuard-а.

> Он не матюгался, это в логе было.

Один хрен :-)

> Лог есть, но он туда напишет, когда правило сработало, если
> не сработало (а именно "разрешено все локально"), то и не
> напишет. Это я написал, как сработало правило "блокировать
> все остальное, если что-то ранее не было разрешено".

Тю, а чем на их взгляд разрешающее правило так сильно отличается от запрещающего, что его и в лог заносить не надо? В общем outpost рулит :-)
Беда не в том, что не разрезолвился, беда в том, что отлупа... 11.07.05 19:04  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> В данном случае именно прослушка.
>
> "inbound
> local address, service (0.0.0.0,2023)
> remote address, service (localhost,4942)"
>
> Расшифровывается как "Входящее соединение с localhost:4942
> на 0.0.0.0:2023". То есть прослушивающей (принимающей)
> стороной был именно "local address". Почему AtGuard не
> разрезолвил это в конкретный интерфейс, который должен
> принять коннект неясно. Может он просто смотрит какой из
> прослушиваемых сокетов должен принять входящее соединение и
> выдает в том виде, в котором получает от системы. Может еще
> что-нибудь. В любом случае, это проблема AtGuard-а.

Беда не в том, что не разрезолвился, беда в том, что отлупа не должно было быть.

> Тю, а чем на их взгляд разрешающее правило так сильно
> отличается от запрещающего, что его и в лог заносить не
> надо? В общем outpost рулит :-)

Они все настолько похожи...
Отличие в том, что на последнем запрещающем стоит крыжик "логировать", чтоб понять если что-то не сработало, то почему.
Выше стоит пропускать все с локального хоста и на него. Что вполне логично, поскольку противостоять нужно вторжениям "снаружи" - не может же кто-то снаружи стукнуться на на 127.0.0.1.
Ступорнулся, потому что непонятно почему этот странный 0.0.0.0 собственно то же самое, что и 127.0.0.1 и почему не сработало разрешающее правило - то, в котором хотя бы с одной стороны локальный хост.
Ну это тоже беда скорее атгарда, чем винды или еще кого нибудь 12.07.05 11:35  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Вроде как "0.0.0.0" - это адрес узла, сгенерировавшего пакет. Хотя в данном случае то же на то же получается 11.07.05 12:04  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
Неправда ваша. 0.0.0.0 имеет несколько значений, но ни одного "адрес, сгенерировавший пакет" 11.07.05 14:01  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
0.0.0.0/0 - это default route

В данном же случае это просто константа INADDR_ANY, которая чаще всего (и в частности в винде) определяется как ноль:

#define INADDR_ANY              (u_long)0x00000000
#define INADDR_LOOPBACK         0x7f000001
#define INADDR_BROADCAST        (u_long)0xffffffff
#define INADDR_NONE             0xffffffff

---
Источник [link] 11.07.05 15:32  
Автор: Heller <Heller> Статус: Elderman
<"чистая" ссылка>
http://citforum.ru/nets/ip/glava_3.shtml - хотя я не спорю, т. к. в данной области сам не специалист.
Действительно написано такое, хотя я и не представляю как это понимать 11.07.05 16:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Если еще один loopback адрес - то

ping 0.0.0.0

не работает, а иначе фиг поймешь.

В принципе я тоже не специалист, а скорее любитель, но по моему там либо неточный перевод либо кто-то не смог понятно выразить свою мысль.
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach