Jaily a jedna IP

[Dan Lukes]

On 01/29/10 12:34, Miroslav Prýmek:
> Takze jestli to spravne chapu, paket smerujici z jailu dostane jako zdrojovou adresu lo1 (tu, kterou vidi),

Ja ti ani nevim, jestli ten interface vidi. Ja mel dojem, ze jail vidi 
jednu jedinou IP adresu  "nevidi" dokonce ani lo0 a jeho 127.0.0.1

> ale pres lo1 nejde (vubec s nim vlastne nema nic spolecnyho).

On pres nej fakt nejde - priponem si obrazek co jsem tu namaloval 
posledne a predstav si, ze smerem pres karty A poslu paket ve kterem 
jako zdrojovou adresu pouziju adresu z interface B. Ten paket normalne 
odejte - ale interface B s tim opravdu nemelo cokoliv do cineni.


>> O odchozich spojeni je jako zdrojova adresa typicky vybrana primarni IP adresa odchoziho interface.
>
> Takze kdyz budu mit pocitac s interfacem fxp0 s adresou 10.0.0.1 a sshcko poslouchajici na vsech
> adresach, tak kdyz spustim na tom pocitaci telnet 10.0.0.1 22, tak ten paket nebude vubec filtrovatelnej
> pravidlem, ktery by uvadelo, ze funguje na fxp0 (protoze pres nej paket ani neprichazi ani neodchazi).

Takovy paket skutecne nemel se sitovym interfacem fxp0 nic spolecneho.

> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.

To's nastolil zajimavou otazku. Kdyz ti reknu, ze takovy paket, kdybys 
ho chtel videt tcpdumpem, tak ho uvidis prave kdyz budes poslouchat na 
lo0, tak to veci asi spis zatemnim, nez osvetlim, co ?

>> Na to je potreba si namalovat pruchod paketu systemem

> A idealne pro zacatek alespon ten graf, jak pakety pres sitovy subsystem chodi a na kterych mistech firewally
> vlastne operuji?

Vsechny grafy, ktere jsem kdy videl, byly neuplne, protoze se vzdycky 
zabyvaly jen necim. Neznam hotovy graf, ktery by obsahoval hooky pro PF, 
IPFW, ALTQ, IPSEC, ... a tim umoznoval efektivne badat nad problemy 
souvisejicimi se vzajemnymi interakcemi techto komponent.

Ale muzeme se pokusit takovy vytvorit. Sam bych ho pak obcas pouzil. I 
me obcas takovy chybi.

							Dan