Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Действительно написано такое, хотя я и не представляю как это понимать 11.07.05 16:24 Число просмотров: 2374
Автор: amirul <Serge> Статус: The Elderman
|
Если еще один loopback адрес - то
ping 0.0.0.0
не работает, а иначе фиг поймешь.
В принципе я тоже не специалист, а скорее любитель, но по моему там либо неточный перевод либо кто-то не смог понятно выразить свою мысль.
|
|
<networking>
|
Непонятный ТиСиПи коннекшн. 11.07.05 11:23
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
В логе файрвола:
inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)
Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к нему лезут с localhost.
И еще, как только запускается ФВ на DHCPшном серваке, DHCP отваливается, хотя ничего не запрещено. Как лечится?
|
|
0.0.0.0 это насколько я помню "все локальные интерфейсы" 11.07.05 11:43
Автор: amirul <Serge> Статус: The Elderman
|
> В логе файрвола:
> inbound
> local address, service (0.0.0.0,2023)
> remote address, service (localhost,4942)
> Расшифруйте, пожалуйста, этот странный 0.0.0.0 и как это к
> нему лезут с localhost.
То бишь прослушивается не один адрес, а все, в том числе и localhost. С localhost-а на него лезут потому, что localhost находится в одной подсети с собой. Короче в данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023 (если бы коннект был с другого интерфейса то и нули означали бы другой адрес)
> И еще, как только запускается ФВ на DHCPшном серваке, DHCP
> отваливается, хотя ничего не запрещено. Как лечится?
Скорее всего что то все таки запрещено. Ось хоть какая на серваке и какой ФВ?
|
| |
То есть одна прога стучится к другой на этом же компе... 11.07.05 12:51
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> То бишь прослушивается не один адрес, а все, в том числе и
> localhost. С localhost-а на него лезут потому, что
> localhost находится в одной подсети с собой. Короче в
> данном конкретном случае 0.0.0.0:2023 это 127.0.0.1:2023
> (если бы коннект был с другого интерфейса то и нули
> означали бы другой адрес)
То есть одна прога стучится к другой на этом же компе. Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ такой адрес корректно.
И еще прикол, есть правила пропускать все входящие и исходящие с/на localhost. Почему-то не сработало...
> > И еще, как только запускается ФВ на DHCPшном серваке,
> DHCP
> > отваливается, хотя ничего не запрещено. Как лечится?
> Скорее всего что то все таки запрещено. Ось хоть какая на
> серваке и какой ФВ?
Вин2000, ФВ - АтГуард.
|
| | |
Ага. 11.07.05 13:35
Автор: amirul <Serge> Статус: The Elderman
|
> То есть одна прога стучится к другой на этом же компе.
Ага.
> Интересно, почему 0.0.0.0 а не 127.0.0.1 и прожует ли ФВ
> такой адрес корректно.
0.0.0.0 это адрес, указанный в вызове bind()
Набери
netstat -a -n
И увидишь, что почти все сетевые сервисы слушают именно на 0.0.0.0
Хотя в принципе большинство сервисов, которые я видел можно привязать к конкретному интерфейсу и тогда нетстат будет показывать адрес этого интерфейса.
А почему он не разрезолвился в конкретный интерфейс при коннекте - не знаю (нетстат для всех established соединений показывает на каком именно интерфейсе оно установлено). Если это ФВ матюкался так - то тем более не знаю, ибо юзаю outpost и он всегда показывает корректные адреса.
> И еще прикол, есть правила пропускать все входящие и
> исходящие с/на localhost. Почему-то не сработало...
Тоже не знаю, чего там atguard делает. Кстати, есть ли в atguard-е журнал с записями всех коннектов и названием/номером правила, которое было применено к данному коннекту (причина разрешения/запрета)?
> > серваке и какой ФВ?
>
> Вин2000, ФВ - АтГуард.
Должен быть лог коннектов где то. С указанием правил, примененных к этим коннектам. Больше я ничего по atguard-у сказать не могу, ибо никогда им не пользовался.
|
| | | |
Когда "прослушка" все, то понятно, но когда коннект, то... 11.07.05 14:55
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> И увидишь, что почти все сетевые сервисы слушают именно на
> 0.0.0.0
Когда "прослушка" все, то понятно, но когда коннект, то почему 0.0.0.0.
> Хотя в принципе большинство сервисов, которые я видел можно
> привязать к конкретному интерфейсу и тогда нетстат будет
> показывать адрес этого интерфейса.
>
> А почему он не разрезолвился в конкретный интерфейс при
> коннекте - не знаю (нетстат для всех established соединений
> показывает на каком именно интерфейсе оно установлено).
> Если это ФВ матюкался так - то тем более не знаю, ибо юзаю
> outpost и он всегда показывает корректные адреса.
Он не матюгался, это в логе было.
> Тоже не знаю, чего там atguard делает. Кстати, есть ли в
> atguard-е журнал с записями всех коннектов и
> названием/номером правила, которое было применено к данному
> коннекту (причина разрешения/запрета)?
>
> > > серваке и какой ФВ?
> >
> > Вин2000, ФВ - АтГуард.
>
> Должен быть лог коннектов где то. С указанием правил,
> примененных к этим коннектам. Больше я ничего по atguard-у
> сказать не могу, ибо никогда им не пользовался.
Лог есть, но он туда напишет, когда правило сработало, если не сработало (а именно "разрешено все локально"), то и не напишет. Это я написал, как сработало правило "блокировать все остальное, если что-то ранее не было разрешено".
|
| | | | |
В данном случае именно прослушка. 11.07.05 16:32
Автор: amirul <Serge> Статус: The Elderman
|
> Когда "прослушка" все, то понятно, но когда коннект, то
> почему 0.0.0.0.
В данном случае именно прослушка.
"inbound
local address, service (0.0.0.0,2023)
remote address, service (localhost,4942)"
Расшифровывается как "Входящее соединение с localhost:4942 на 0.0.0.0:2023". То есть прослушивающей (принимающей) стороной был именно "local address". Почему AtGuard не разрезолвил это в конкретный интерфейс, который должен принять коннект неясно. Может он просто смотрит какой из прослушиваемых сокетов должен принять входящее соединение и выдает в том виде, в котором получает от системы. Может еще что-нибудь. В любом случае, это проблема AtGuard-а.
> Он не матюгался, это в логе было.
Один хрен :-)
> Лог есть, но он туда напишет, когда правило сработало, если
> не сработало (а именно "разрешено все локально"), то и не
> напишет. Это я написал, как сработало правило "блокировать
> все остальное, если что-то ранее не было разрешено".
Тю, а чем на их взгляд разрешающее правило так сильно отличается от запрещающего, что его и в лог заносить не надо? В общем outpost рулит :-)
|
| | | | | |
Беда не в том, что не разрезолвился, беда в том, что отлупа... 11.07.05 19:04
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> В данном случае именно прослушка.
>
> "inbound
> local address, service (0.0.0.0,2023)
> remote address, service (localhost,4942)"
>
> Расшифровывается как "Входящее соединение с localhost:4942
> на 0.0.0.0:2023". То есть прослушивающей (принимающей)
> стороной был именно "local address". Почему AtGuard не
> разрезолвил это в конкретный интерфейс, который должен
> принять коннект неясно. Может он просто смотрит какой из
> прослушиваемых сокетов должен принять входящее соединение и
> выдает в том виде, в котором получает от системы. Может еще
> что-нибудь. В любом случае, это проблема AtGuard-а.
Беда не в том, что не разрезолвился, беда в том, что отлупа не должно было быть.
> Тю, а чем на их взгляд разрешающее правило так сильно
> отличается от запрещающего, что его и в лог заносить не
> надо? В общем outpost рулит :-)
Они все настолько похожи...
Отличие в том, что на последнем запрещающем стоит крыжик "логировать", чтоб понять если что-то не сработало, то почему.
Выше стоит пропускать все с локального хоста и на него. Что вполне логично, поскольку противостоять нужно вторжениям "снаружи" - не может же кто-то снаружи стукнуться на на 127.0.0.1.
Ступорнулся, потому что непонятно почему этот странный 0.0.0.0 собственно то же самое, что и 127.0.0.1 и почему не сработало разрешающее правило - то, в котором хотя бы с одной стороны локальный хост.
|
| | | | | | |
Ну это тоже беда скорее атгарда, чем винды или еще кого нибудь 12.07.05 11:35
Автор: amirul <Serge> Статус: The Elderman
|
|
|
| |
Вроде как "0.0.0.0" - это адрес узла, сгенерировавшего пакет. Хотя в данном случае то же на то же получается 11.07.05 12:04
Автор: Heller <Heller> Статус: Elderman
|
|
|
| | |
Неправда ваша. 0.0.0.0 имеет несколько значений, но ни одного "адрес, сгенерировавший пакет" 11.07.05 14:01
Автор: amirul <Serge> Статус: The Elderman
|
0.0.0.0/0 - это default route
В данном же случае это просто константа INADDR_ANY, которая чаще всего (и в частности в винде) определяется как ноль:
#define INADDR_ANY (u_long)0x00000000
#define INADDR_LOOPBACK 0x7f000001
#define INADDR_BROADCAST (u_long)0xffffffff
#define INADDR_NONE 0xffffffff
---
|
| | | | |
Действительно написано такое, хотя я и не представляю как это понимать 11.07.05 16:24
Автор: amirul <Serge> Статус: The Elderman
|
Если еще один loopback адрес - то
ping 0.0.0.0
не работает, а иначе фиг поймешь.
В принципе я тоже не специалист, а скорее любитель, но по моему там либо неточный перевод либо кто-то не смог понятно выразить свою мысль.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
