Jaily a jedna IP

Miroslav Prýmek m.prymek at gmail.com
Fri Jan 29 18:32:28 CET 2010


On 29.1.2010, at 16:56, Zbyněk Burget wrote:
> 
>> 
>> 
>> Chci-li teda takovej paket zablokovat, musim to udelat podle IP adresy.
> 
> Ano, jen netusim, k cemu bys ten packet blokoval. Stejne tak mi prijde divne to, co vlastne chces blokovat z tech jailu. Porad to na mne dela dojem, ze resis neco nejak divne. Nejspis resis dusledek a ne pricinu. A to nekdy da hrozne moc prace. Jednodussi by mozna bylo sem napsat, ceho presne chces dosahnout a urcite ti nekdo poradi, jak toho dosahnout.

No hlavnim ucelem je pochopit, jak vlastne sitovani mezi jaily funguje.

Druhym ucelem je to, ze chci mit (relativne) neduveryhodneho spravce jailu, takze by se mi
potencialne hodilo omezit, co muze a nemuze na siti provadet.

Nehlede na to, ze se obecne docela hodi povolit jailu pristup skutecne jen k tem
sluzbam, ktery ma vyuzivat - aby v pripade, ze je kompromitovanej, neziskal
utocnik pristup k nejakym sluzbam, ktere maji byt k dispozici prave jen 
nekterym (jinym) jailum...

Takze ted uz vim, ze se to musi udelat na zaklade IP adresy a nejde to treba 
tak, ze by kazdy jail mel svoje tapX a podle toho by se filtrovalo.

> 
> Pruchod packetu routerem (pokud je zdrojovym nebo cilovym strojem router, odmysli si prislusnou cast grafu od nebo po kernel.
> 
> drat --- in iface --- [firewall layer 2] --- firewall layer 3 --- kernel --- firewall layer 3 --- [firewall layer 2] --- out iface --- drat
> 

No, tak to je presne tak, jak jsem se nakonec domnival. A jeste takhle:

aplikace --- kernel --- firewall layer 3 --- [firewall layer 2] --- out iface --- drat

pricemz se nerozlisuje, jestli aplikace je nebo neni v jailu.

Jediny, cemu teda jeste nerozumim, je "privilegovanost" lo0 (oproti napr. lo1).

MP


More information about the Users-l mailing list