Вроде как "0.0.0.0" - это адрес узла, сгенерировавшего пакет. Хотя в данном случае то же на то же получается11.07.05 12:04 Число просмотров: 3200 Автор: Heller <Heller> Статус: Elderman
В логе файрвола:
inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)
Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к нему лезут с localhost.
И еще, как только запускается ФВ на DHCPшном серваке, DHCP отваливается, хотя ничего не запрещено. Как лечится?
0.0.0.0 это насколько я помню "все локальные интерфейсы"11.07.05 11:43 Автор: amirul <Serge> Статус: The Elderman
> В логе файрвола: > inbound > local address, service (0.0.0.0,2023) > remote address, service (localhost,4942) > Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к > нему лезут с localhost.
То бишь прослушивается не один адрес, а все, в том числе и localhost. С localhost-а на него лезут потому, что localhost находится в одной подсети с собой. Короче в данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023 (если бы коннект был с другого интерфейса то и нули означали бы другой адрес)
> И еще, как только запускается ФВ на DHCPшном серваке, DHCP > отваливается, хотя ничего не запрещено. Как лечится? Скорее всего что то все таки запрещено. Ось хоть какая на серваке и какой ФВ?
То есть одна прога стучится к другой на этом же компе...11.07.05 12:51 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> То бишь прослушивается не один адрес, а все, в том числе и > localhost. С localhost-а на него лезут потому, что > localhost находится в одной подсети с собой. Короче в > данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023 > (если бы коннект был с другого интерфейса то и нули > означали бы другой адрес)
То есть одна прога стучится к другой на этом же компе. Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ такой адрес корректно.
И еще прикол, есть правила пропускать все входящие и исходящие с/на localhost. Почему-то не сработало...
> > И еще, как только запускается ФВ на DHCPшном серваке, > DHCP > > отваливается, хотя ничего не запрещено. Как лечится? > Скорее всего что то все таки запрещено. Ось хоть какая на > серваке и какой ФВ?
Вин2000, ФВ - АтГуард.
Ага.11.07.05 13:35 Автор: amirul <Serge> Статус: The Elderman
> То есть одна прога стучится к другой на этом же компе.
Ага.
> Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ > такой адрес корректно.
0.0.0.0 это адрес, указанный в вызове bind()
Набери
netstat -a -n
И увидишь, что почти все сетевые сервисы слушают именно на 0.0.0.0
Хотя в принципе большинство сервисов, которые я видел можно привязать к конкретному интерфейсу и тогда нетстат будет показывать адрес этого интерфейса.
А почему он не разрезолвился в конкретный интерфейс при коннекте - не знаю (нетстат для всех established соединений показывает на каком именно интерфейсе оно установлено). Если это ФВ матюкался так - то тем более не знаю, ибо юзаю outpost и он всегда показывает корректные адреса.
> И еще прикол, есть правила пропускать все входящие и > исходящие с/на localhost. Почему-то не сработало...
Тоже не знаю, чего там atguard делает. Кстати, есть ли в atguard-е журнал с записями всех коннектов и названием/номером правила, которое было применено к данному коннекту (причина разрешения/запрета)?
> > серваке и какой ФВ? > > Вин2000, ФВ - АтГуард.
Должен быть лог коннектов где то. С указанием правил, примененных к этим коннектам. Больше я ничего по atguard-у сказать не могу, ибо никогда им не пользовался.
Когда "прослушка" все, то понятно, но когда коннект, то...11.07.05 14:55 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> И увидишь, что почти все сетевые сервисы слушают именно на > 0.0.0.0
Когда "прослушка" все, то понятно, но когда коннект, то почему 0.0.0.0.
> Хотя в принципе большинство сервисов, которые я видел можно > привязать к конкретному интерфейсу и тогда нетстат будет > показывать адрес этого интерфейса. > > А почему он не разрезолвился в конкретный интерфейс при > коннекте - не знаю (нетстат для всех established соединений > показывает на каком именно интерфейсе оно установлено). > Если это ФВ матюкался так - то тем более не знаю, ибо юзаю > outpost и он всегда показывает корректные адреса.
Он не матюгался, это в логе было.
> Тоже не знаю, чего там atguard делает. Кстати, есть ли в > atguard-е журнал с записями всех коннектов и > названием/номером правила, которое было применено к данному > коннекту (причина разрешения/запрета)? > > > > серваке и какой ФВ? > > > > Вин2000, ФВ - АтГуард. > > Должен быть лог коннектов где то. С указанием правил, > примененных к этим коннектам. Больше я ничего по atguard-у > сказать не могу, ибо никогда им не пользовался.
Лог есть, но он туда напишет, когда правило сработало, если не сработало (а именно "разрешено все локально"), то и не напишет. Это я написал, как сработало правило "блокировать все остальное, если что-то ранее не было разрешено".
В данном случае именно прослушка.11.07.05 16:32 Автор: amirul <Serge> Статус: The Elderman
> Когда "прослушка" все, то понятно, но когда коннект, то > почему 0.0.0.0.
В данном случае именно прослушка.
"inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)"
Расшифровывается как "Входящее соединение с localhost:4942 на 0.0.0.0:2023". То есть прослушивающей (принимающей) стороной был именно "local address". Почему AtGuard не разрезолвил это в конкретный интерфейс, который должен принять коннект неясно. Может он просто смотрит какой из прослушиваемых сокетов должен принять входящее соединение и выдает в том виде, в котором получает от системы. Может еще что-нибудь. В любом случае, это проблема AtGuard-а.
> Он не матюгался, это в логе было.
Один хрен :-)
> Лог есть, но он туда напишет, когда правило сработало, если > не сработало (а именно "разрешено все локально"), то и не > напишет. Это я написал, как сработало правило "блокировать > все остальное, если что-то ранее не было разрешено".
Тю, а чем на их взгляд разрешающее правило так сильно отличается от запрещающего, что его и в лог заносить не надо? В общем outpost рулит :-)
Беда не в том, что не разрезолвился, беда в том, что отлупа...11.07.05 19:04 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
> В данном случае именно прослушка. > > "inbound > local address, service (0.0.0.0,2023) > remote address, service (localhost,4942)" > > Расшифровывается как "Входящее соединение с localhost:4942 > на 0.0.0.0:2023". То есть прослушивающей (принимающей) > стороной был именно "local address". Почему AtGuard не > разрезолвил это в конкретный интерфейс, который должен > принять коннект неясно. Может он просто смотрит какой из > прослушиваемых сокетов должен принять входящее соединение и > выдает в том виде, в котором получает от системы. Может еще > что-нибудь. В любом случае, это проблема AtGuard-а.
Беда не в том, что не разрезолвился, беда в том, что отлупа не должно было быть.
> Тю, а чем на их взгляд разрешающее правило так сильно > отличается от запрещающего, что его и в лог заносить не > надо? В общем outpost рулит :-)
Они все настолько похожи...
Отличие в том, что на последнем запрещающем стоит крыжик "логировать", чтоб понять если что-то не сработало, то почему.
Выше стоит пропускать все с локального хоста и на него. Что вполне логично, поскольку противостоять нужно вторжениям "снаружи" - не может же кто-то снаружи стукнуться на на 127.0.0.1.
Ступорнулся, потому что непонятно почему этот странный 0.0.0.0 собственно то же самое, что и 127.0.0.1 и почему не сработало разрешающее правило - то, в котором хотя бы с одной стороны локальный хост.
Ну это тоже беда скорее атгарда, чем винды или еще кого нибудь12.07.05 11:35 Автор: amirul <Serge> Статус: The Elderman
Вроде как "0.0.0.0" - это адрес узла, сгенерировавшего пакет. Хотя в данном случае то же на то же получается11.07.05 12:04 Автор: Heller <Heller> Статус: Elderman
подробно о проекте
Анализ криптографических сетевых... 
