Jaily a jedna IP

[Zbyněk Burget]

Dne 29.1.2010 12:34, Miroslav Prýmek napsal(a):
>
> Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko poslouchajici na vsech
> adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket nebude vubec filtrovatelnej
> pravidlem, ktery by uvadelo, ze funguje na fxp0 (protoze pres nej paket ani neprichazi ani neodchazi).

Naprosto presne.
A pokud se nepletu, tak by byl filtrovatelnej na lo0 ;-)

>
>
> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.

Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde 
divne to, co vlastne chces blokovat z tech jailu. Porad to na mne dela 
dojem, ze resis neco nejak divne. Nejspis resis dusledek a ne pricinu. A 
to nekdy da hrozne moc prace. Jednodussi by mozna bylo sem napsat, ceho 
presne chces dosahnout a urcite ti nekdo poradi, jak toho dosahnout.
Vetsinou potrebuju blokovat nejaky provoz v nejakem odchozim / prichozim 
smeru. A ano, pak mam povesena pravidla na konkretnich interfacech - jen 
se vetsinou nedivam na to, odkud ten packet prisel (to ma vyznam v 
nekolika malo pripadech). Podstatne je, aby se nejaky provoz nedostal do 
urciteho smeru nebo any nejaky provoz z urciteho smeru vubec na stroj 
nemohl. Rovnez sice nepouzivam PF, ale to v principu funkce firewallu a 
pruchodu packteu skrz nej nehraje naprosto zadnou roli.

>
> A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi a na kterych mistech firewally
> vlastne operuji?

Pruchod packetu routerem (pokud je zdrojovym nebo cilovym strojem 
router, odmysli si prislusnou cast grafu od nebo po kernel.

drat --- in iface --- [firewall layer 2] --- firewall layer 3 --- kernel 
--- firewall layer 3 --- [firewall layer 2] --- out iface --- drat

pokud pustis tcpdump, divas se na tok v miste in / out iface.

Zbynek