Добрый день Mike,
Thursday, January 5, 2006, 5:54:45 AM, you wrote:
MB> On Tue, Dec 20, 2005 at 18:39 +0300, Dmitry V. Kustov wrote:
>> Рассматривается /etc/pf.conf.
>> Правило
>> set skip on lo
>> пропускает все действия PF на lo интерфейсе.
>>
>> С другой стороны, есть единственное место, где
>> упоминается lo:
>> pass in quick on lo inet all
>> antispoof log quick for { lo, $int_if, $ext_if }
>>
>> У меня вопрос: "Если поставить set skip, то правила
>> с pass и antispoof для lo не отработают?"
>>
MB> с pass не будет, видимо забыли убрать, а вот antispoof -
MB> совсем другое дело. оно разворачивается (для lo) так:
MB> block drop in quick on ! lo inet from 127.0.0.0/8 to any
MB> block drop in quick inet from 127.0.0.1 to any
MB> суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
MB> из 127.0.0.0/8, что и является попыткой спуффинга...
по моему антиспуф для лупбака это неправильно, по крайней мере в ядре
уже на ip_input это все дело проверяется и пакеты идущие не с лупбака
с адресами 127/8 отбрасываются.
это дело в файле netinet/ip_input.c строка 314 :-)
MB> так что эти правила к ``set skip on lo'' не относятся.
--
С уважением,
Динар Талыпов
ООО "Камател-Янтел"
т.(8555)45-17-45