set skip и antifpoof

Рассматривается /etc/pf.conf.
Правило
set skip on lo
пропускает все действия PF на lo интерфейсе.

С другой стороны, есть единственное место, где
упоминается lo:
pass in quick on lo inet all
antispoof log quick for { lo, $int_if, $ext_if }

У меня вопрос: "Если поставить set skip, то правила
с pass и antispoof для lo не отработают?"

> У меня вопрос: "Если поставить set skip, то правила
> с pass и antispoof для lo не отработают?"

Не отработают равно как и вообще любые правила.
В мане написано что с точки зрения интерфейса на нем вообще PF выключен, то есть все можно...

On Tue, 20 Dec 2005 18:42:41 +0300, Oleg Safiullin <[hidden email]>  
wrote:

>> У меня вопрос: "Если поставить set skip, то правила
>> с pass и antispoof для lo не отработают?"
>
> Не отработают равно как и вообще любые правила.
> В мане написано что с точки зрения интерфейса на нем вообще PF выключен,  
> то есть все можно...
>
>
Спасибо, я так и думал.

On Tue, Dec 20, 2005 at 18:39 +0300, Dmitry V. Kustov wrote:
с pass не будет, видимо забыли убрать, а вот antispoof -
совсем другое дело. оно разворачивается (для lo) так:

 block drop in quick on ! lo inet from 127.0.0.0/8 to any
 block drop in quick inet from 127.0.0.1 to any

суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
из 127.0.0.0/8, что и является попыткой спуффинга...

так что эти правила к ``set skip on lo'' не относятся.

Добрый день Mike,

Thursday, January 5, 2006, 5:54:45 AM, you wrote:

MB> On Tue, Dec 20, 2005 at 18:39 +0300, Dmitry V. Kustov wrote:
MB> с pass не будет, видимо забыли убрать, а вот antispoof -
MB> совсем другое дело. оно разворачивается (для lo) так:

MB>  block drop in quick on ! lo inet from 127.0.0.0/8 to any
MB>  block drop in quick inet from 127.0.0.1 to any

MB> суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
MB> из 127.0.0.0/8, что и является попыткой спуффинга...
по моему антиспуф для лупбака это неправильно, по крайней мере в ядре
уже на ip_input это все дело проверяется и пакеты идущие не с лупбака
с адресами 127/8 отбрасываются.
это дело в файле netinet/ip_input.c строка 314 :-)
MB> так что эти правила к ``set skip on lo'' не относятся.





--
С уважением,
Динар Талыпов
ООО "Камател-Янтел"
т.(8555)45-17-45                      

On Wed, Jan 11, 2006 at 08:44 +0300, Динар Талыпов wrote:
> MB> суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
> MB> из 127.0.0.0/8, что и является попыткой спуффинга...
> по моему антиспуф для лупбака это неправильно, по крайней мере в ядре
> уже на ip_input это все дело проверяется и пакеты идущие не с лупбака
> с адресами 127/8 отбрасываются.
> это дело в файле netinet/ip_input.c строка 314 :-)

аха, значит опеновцы к тому же не читают сови исходники ;)