forum.opennet.ru - "Помогите разобраться с конфигурацией iptables" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите разобраться с конфигурацией iptables"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите разобраться с конфигурацией iptables"
Сообщение от mylan (??) on 25-Апр-05, 16:08 (MSK)
что означает правило -A INPUT -d 192.168.255.255 -i eth0 -j ACCEPT где eth0 - внешний интерфейс. Как я понимаю, это правило разрешает входящие широковещетельные пакеты. А зачем? -A INPUT -s 194.168.203.148 -i lo -j ACCEPT где указанный ip - ip провайдера. Ключик -i означает интерфейс-источник. Как пакеты с айпи провайдера могут попадать в ядро с локального интерфейса?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите разобраться с конфигурацией iptables, Асен Тотин, 00:37 , 26-Апр-05, (1)
Помогите разобраться с конфигурацией iptables, mylan, 09:58 , 26-Апр-05, (2)
- Помогите разобраться с конфигурацией iptables, Асен Тотин, 12:03 , 26-Апр-05, (3)
  - Помогите разобраться с конфигурацией iptables, mylan, 14:09 , 27-Апр-05, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите разобраться с конфигурацией iptables"

Сообщение от Асен Тотин on 26-Апр-05, 00:37  (MSK)

Привет,
>что означает правило
>-A INPUT -d 192.168.255.255 -i eth0 -j ACCEPT
>где eth0 - внешний интерфейс. Как я понимаю, это правило разрешает
>входящие широковещетельные пакеты. А зачем?
Это правило разрешает вхождение в машину всех пакетов с адресом назначения 192.168.255.255, если они поступили черен интерфейс eth0. Является ли при этом адрес 192.168.255.255 широковещательным или нет, зависит от сетевой маски. Смысл разрешить широковещательные пакеты - чтоб ваша система могла на них отвечать. Если непонятно что такое "broadcast" пакет, то вопрост над оставить иначе.
>-A INPUT -s 194.168.203.148 -i lo -j ACCEPT
>где указанный ip - ip провайдера. Ключик -i означает интерфейс-источник.
>Как пакеты с айпи провайдера могут попадать в ядро с локального интерфейса?
Ключик "-i" - входящий интерфейс, а могут туда попасть пакеты разными путями... завити от того, чем занимается ваша машина.
WWell,

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите разобраться с конфигурацией iptables"

Сообщение от mylan (??) on 26-Апр-05, 09:58  (MSK)

Во-первых, спасибо отклик.
Во-вторых, машина эта - шлюз в инет. На ней два реальных интерфейса: внутренний eth1
(IPADDR=192.168.0.13
NETMASK=255.255.0.0
NETWORK=192.168.0.0
BROADCAST=0.0.255.255)
и внешний eth0 (приведены для образца нереальные, но похожие значения)
(IPADDR=81.208.197.11
NETMASK=255.255.255.248
NETWORK=81.208.197.8
BROADCAST=81.208.197.15)
Правильно ли то, что если стоит -i eth0, то это значит, что рассматриваются пакеты, приходящие из инета? Если да, то тогда я не понимаю как или зачем или от кого оттуда могут приходить такие:
-d 192.168.255.255
Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей.
И, соответственно, разве может по инету гулять такой пакет?
То же и со вторым правилом.
Как пакеты от провайдера могут попадать на петлю? Или для чего это правило служит?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите разобраться с конфигурацией iptables"

Сообщение от Асен Тотин on 26-Апр-05, 12:03  (MSK)

Привет,
>Правильно ли то, что если стоит -i eth0, то это значит, что
>рассматриваются пакеты, приходящие из инета?
Да.
Если да, то тогда я не
>понимаю как или зачем или от кого оттуда могут приходить такие:
>-d 192.168.255.255
>Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей.
>И, соответственно, разве может по инету гулять такой пакет?
Вполне может. Во-первых, есть такая вещь как spoof адреса источника - при наличие полноценното IP стэка на данной OS, это несложно оригназовать программными средствами (все UNIX-подобные системы и Windows начиная с 2000).
Вторая причина - то, что эти адреса выделены для частных сетей не значит, что никто не обязан их маршрутизировать. Немногие провайдеры склонны запустить в своей сети верификацию адреса источника, что требует немалых CPU затрат на рутерах. Большинство просто передают в интернет по своим маршрутав то, что получают...
WWell,

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите разобраться с конфигурацией iptables"

Сообщение от mylan (??) on 27-Апр-05, 14:09  (MSK)

Опять таки. Спасибо.
Ну и наконец, на кой мне нужно разрешать эти пакеты. Это правило осталось от предыдущего сисадмина. Может его грохнуть? :)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться с конфигурацией iptables"
Сообщение от Асен Тотин on 26-Апр-05, 00:37 (MSK)
Привет, >что означает правило >-A INPUT -d 192.168.255.255 -i eth0 -j ACCEPT >где eth0 - внешний интерфейс. Как я понимаю, это правило разрешает >входящие широковещетельные пакеты. А зачем? Это правило разрешает вхождение в машину всех пакетов с адресом назначения 192.168.255.255, если они поступили черен интерфейс eth0. Является ли при этом адрес 192.168.255.255 широковещательным или нет, зависит от сетевой маски. Смысл разрешить широковещательные пакеты - чтоб ваша система могла на них отвечать. Если непонятно что такое "broadcast" пакет, то вопрост над оставить иначе. >-A INPUT -s 194.168.203.148 -i lo -j ACCEPT >где указанный ip - ip провайдера. Ключик -i означает интерфейс-источник. >Как пакеты с айпи провайдера могут попадать в ядро с локального интерфейса? Ключик "-i" - входящий интерфейс, а могут туда попасть пакеты разными путями... завити от того, чем занимается ваша машина. WWell,
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "Помогите разобраться с конфигурацией iptables"
Сообщение от mylan (??) on 26-Апр-05, 09:58 (MSK)
Во-первых, спасибо отклик. Во-вторых, машина эта - шлюз в инет. На ней два реальных интерфейса: внутренний eth1 (IPADDR=192.168.0.13 NETMASK=255.255.0.0 NETWORK=192.168.0.0 BROADCAST=0.0.255.255) и внешний eth0 (приведены для образца нереальные, но похожие значения) (IPADDR=81.208.197.11 NETMASK=255.255.255.248 NETWORK=81.208.197.8 BROADCAST=81.208.197.15) Правильно ли то, что если стоит -i eth0, то это значит, что рассматриваются пакеты, приходящие из инета? Если да, то тогда я не понимаю как или зачем или от кого оттуда могут приходить такие: -d 192.168.255.255 Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей. И, соответственно, разве может по инету гулять такой пакет? То же и со вторым правилом. Как пакеты от провайдера могут попадать на петлю? Или для чего это правило служит?
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Помогите разобраться с конфигурацией iptables"
	Сообщение от Асен Тотин on 26-Апр-05, 12:03 (MSK)
	Привет, >Правильно ли то, что если стоит -i eth0, то это значит, что >рассматриваются пакеты, приходящие из инета? Да. Если да, то тогда я не >понимаю как или зачем или от кого оттуда могут приходить такие: >-d 192.168.255.255 >Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей. >И, соответственно, разве может по инету гулять такой пакет? Вполне может. Во-первых, есть такая вещь как spoof адреса источника - при наличие полноценното IP стэка на данной OS, это несложно оригназовать программными средствами (все UNIX-подобные системы и Windows начиная с 2000). Вторая причина - то, что эти адреса выделены для частных сетей не значит, что никто не обязан их маршрутизировать. Немногие провайдеры склонны запустить в своей сети верификацию адреса источника, что требует немалых CPU затрат на рутерах. Большинство просто передают в интернет по своим маршрутав то, что получают... WWell,
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Помогите разобраться с конфигурацией iptables"
	Сообщение от mylan (??) on 27-Апр-05, 14:09 (MSK)
	Опять таки. Спасибо. Ну и наконец, на кой мне нужно разрешать эти пакеты. Это правило осталось от предыдущего сисадмина. Может его грохнуть? :)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]