Hallo,
in der Firewall, die ich jetzt neu konfiguriert habe, verfangen sich Packete meiner eigenen Kiste. Das OUTPUT Interface der betreffenden Packete ist dabei das loopback, aber die Ziel- und Absenderadresse ist aber die der aeusseren Ethernet Karte (eth0). In der deny all Strategie werden jedoch von mir nur folgende Packete übers Loopback angenommen:
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
Der Rest ist Verboten. Wenn jetzt also lokal ein Prozess eine Verbindung von meiner Ethernet IP Adresse aufmachen will und als Ziel wieder die gleiche Adresse hat, dann geht der Traffic auch übers Loop? Muß ich also meine eigenen Ethernet IP Adressen auch noch akzeptieren, oder liegt der Fehler darin, daß irgendein Programm falsch konfiguriert/implementiert ist?
andre
Am Mittwoch, dem 16. Januar 2002 um 10:40:10, schrieb Andre Schulze:
Wenn jetzt also lokal ein Prozess eine Verbindung von meiner Ethernet IP Adresse aufmachen will und als Ziel wieder die gleiche Adresse hat, dann geht der Traffic auch übers Loop?
Meines Erachtens tut er das nicht.
Torsten
Am Wed den 16 Jan 2002 um 10:54:35AM +0100 schrieb Torsten Werner:
Am Mittwoch, dem 16. Januar 2002 um 10:40:10, schrieb Andre Schulze:
Wenn jetzt also lokal ein Prozess eine Verbindung von meiner Ethernet IP Adresse aufmachen will und als Ziel wieder die gleiche Adresse hat, dann geht der Traffic auch übers Loop?
Meines Erachtens tut er das nicht.
(ich habe es mal umgebrochen)
Jan 16 06:29:22 pinguin kernel: not allowed for root IN= OUT=lo SRC=141.30.108.193 DST=141.30.108.193 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=8297 PROTO=TCP SPT=4561 DPT=80 WINDOW=32767 RES=0x00 SYN URGP=0
Ähnliche Einträge gibt es noch von dem internen Interface, mit dem ich noch ein NAT mache.
andre
On Wed, Jan 16, 2002 at 10:40:10AM +0100, Andre Schulze wrote:
Hallo,
in der Firewall, die ich jetzt neu konfiguriert habe, verfangen sich Packete meiner eigenen Kiste. Das OUTPUT Interface der betreffenden Packete ist dabei das loopback, aber die Ziel- und Absenderadresse ist aber die der aeusseren Ethernet Karte (eth0). In der deny all Strategie werden jedoch von mir nur folgende Packete übers Loopback angenommen:
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
Der Rest ist Verboten. Wenn jetzt also lokal ein Prozess eine Verbindung von meiner Ethernet IP Adresse aufmachen will und als Ziel wieder die gleiche Adresse hat, dann geht der Traffic auch übers Loop?
Ein Packet wird dem loopback-device zugestellt, wenn: - es explizit an 127.0.0.0/8 geschickt wird - die Zieladresse mit der Broadcast- oder Multicastadresse identisch ist - die Zieladresse mit der IP-Adresse eines Interfaces des selben Hosts identisch ist
Muß ich also meine eigenen Ethernet IP Adressen auch noch akzeptieren,
Reicht es nicht aus, das -s und -d wegzulassen? Packete von außerhalb sollten ja schließlich nicht ins loopback gelangen und wenn doch, sollte der Kernel dringend gefixt werden ;)
Ciao, Tobias
Am Wed den 16 Jan 2002 um 07:43:00PM +0100 schrieb Tobias Koenig:
On Wed, Jan 16, 2002 at 10:40:10AM +0100, Andre Schulze wrote:
Hallo,
In der deny all Strategie werden jedoch von mir nur folgende Packete übers Loopback angenommen:
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
Ein Packet wird dem loopback-device zugestellt, wenn: - es explizit an 127.0.0.0/8 geschickt wird - die Zieladresse mit der Broadcast- oder Multicastadresse identisch ist - die Zieladresse mit der IP-Adresse eines Interfaces des selben Hosts identisch ist
Danke für die Erklärung, wo kann man das Nachlesen?
Muß ich also meine eigenen Ethernet IP Adressen auch noch akzeptieren,
Reicht es nicht aus, das -s und -d wegzulassen?
Jupp.
Packete von außerhalb sollten ja schließlich nicht ins loopback gelangen und wenn doch, sollte der Kernel dringend gefixt werden ;)
Ja, dem eigenen kernel muß man wohl vertrauen müssen :-)
andre
On Thu, Jan 17, 2002 at 06:18:17PM +0100, Andre Schulze wrote:
Am Wed den 16 Jan 2002 um 07:43:00PM +0100 schrieb Tobias Koenig:
On Wed, Jan 16, 2002 at 10:40:10AM +0100, Andre Schulze wrote:
Hallo,
<schnipp>
Danke für die Erklärung, wo kann man das Nachlesen?
TCP/IP Illustrated, Volume 1 (Richard W. Stevens) Chapter 2, Section 7
Ciao, Tobias
On Fri, Jan 18, 2002 at 07:00:05AM +0100, Tobias Koenig wrote:
On Thu, Jan 17, 2002 at 06:18:17PM +0100, Andre Schulze wrote:
Danke für die Erklärung, wo kann man das Nachlesen?
TCP/IP Illustrated, Volume 1 (Richard W. Stevens) Chapter 2, Section 7
und falls du das nicht hast:
http://www.cs.colorado.edu/~grunwald/NetworksResources/Slides-stevens-tcpipv... Auf Seite 15 ist die Grafik, die auch im Buch zu dem Thema enthalten ist und in der die 3 von Tobias genannten Regeln erkennbar werden.
Reinhard
lug-dd@mailman.schlittermann.de
-
Andre Schulze -
Reinhard Foerster -
Tobias Koenig -
Torsten Werner