set skip и antifpoof

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

set skip и antifpoof

Dmitry V. Kustov
Рассматривается /etc/pf.conf.
Правило
set skip on lo
пропускает все действия PF на lo интерфейсе.

С другой стороны, есть единственное место, где
упоминается lo:
pass in quick on lo inet all
antispoof log quick for { lo, $int_if, $ext_if }

У меня вопрос: "Если поставить set skip, то правила
с pass и antispoof для lo не отработают?"


Reply | Threaded
Open this post in threaded view
|

Re: set skip и antifpoof

Oleg Safiullin
> У меня вопрос: "Если поставить set skip, то правила
> с pass и antispoof для lo не отработают?"

Не отработают равно как и вообще любые правила.
В мане написано что с точки зрения интерфейса на нем вообще PF выключен, то есть все можно...


Reply | Threaded
Open this post in threaded view
|

Re: set skip и antifpoof

Dmitry V. Kustov
On Tue, 20 Dec 2005 18:42:41 +0300, Oleg Safiullin <[hidden email]>  
wrote:

>> У меня вопрос: "Если поставить set skip, то правила
>> с pass и antispoof для lo не отработают?"
>
> Не отработают равно как и вообще любые правила.
> В мане написано что с точки зрения интерфейса на нем вообще PF выключен,  
> то есть все можно...
>
>
Спасибо, я так и думал.


Reply | Threaded
Open this post in threaded view
|

Re: set skip и antifpoof

Mike Belopuhov
In reply to this post by Dmitry V. Kustov
On Tue, Dec 20, 2005 at 18:39 +0300, Dmitry V. Kustov wrote:

> Рассматривается /etc/pf.conf.
> Правило
> set skip on lo
> пропускает все действия PF на lo интерфейсе.
>
> С другой стороны, есть единственное место, где
> упоминается lo:
> pass in quick on lo inet all
> antispoof log quick for { lo, $int_if, $ext_if }
>
> У меня вопрос: "Если поставить set skip, то правила
> с pass и antispoof для lo не отработают?"
>

с pass не будет, видимо забыли убрать, а вот antispoof -
совсем другое дело. оно разворачивается (для lo) так:

 block drop in quick on ! lo inet from 127.0.0.0/8 to any
 block drop in quick inet from 127.0.0.1 to any

суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
из 127.0.0.0/8, что и является попыткой спуффинга...

так что эти правила к ``set skip on lo'' не относятся.


Reply | Threaded
Open this post in threaded view
|

Re[2]: set skip и antifpoof

Dinar Talypov
Добрый день Mike,

Thursday, January 5, 2006, 5:54:45 AM, you wrote:

MB> On Tue, Dec 20, 2005 at 18:39 +0300, Dmitry V. Kustov wrote:

>> Рассматривается /etc/pf.conf.
>> Правило
>> set skip on lo
>> пропускает все действия PF на lo интерфейсе.
>>
>> С другой стороны, есть единственное место, где
>> упоминается lo:
>> pass in quick on lo inet all
>> antispoof log quick for { lo, $int_if, $ext_if }
>>
>> У меня вопрос: "Если поставить set skip, то правила
>> с pass и antispoof для lo не отработают?"
>>

MB> с pass не будет, видимо забыли убрать, а вот antispoof -
MB> совсем другое дело. оно разворачивается (для lo) так:

MB>  block drop in quick on ! lo inet from 127.0.0.0/8 to any
MB>  block drop in quick inet from 127.0.0.1 to any

MB> суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
MB> из 127.0.0.0/8, что и является попыткой спуффинга...
по моему антиспуф для лупбака это неправильно, по крайней мере в ядре
уже на ip_input это все дело проверяется и пакеты идущие не с лупбака
с адресами 127/8 отбрасываются.
это дело в файле netinet/ip_input.c строка 314 :-)
MB> так что эти правила к ``set skip on lo'' не относятся.





--
С уважением,
Динар Талыпов
ООО "Камател-Янтел"
т.(8555)45-17-45                      


Reply | Threaded
Open this post in threaded view
|

Re: set skip и antifpoof

Mike Belopuhov
On Wed, Jan 11, 2006 at 08:44 +0300, Динар Талыпов wrote:
> MB> суть -- отбрасывать пакеты идущие НЕ с lo, но у которых ip
> MB> из 127.0.0.0/8, что и является попыткой спуффинга...
> по моему антиспуф для лупбака это неправильно, по крайней мере в ядре
> уже на ip_input это все дело проверяется и пакеты идущие не с лупбака
> с адресами 127/8 отбрасываются.
> это дело в файле netinet/ip_input.c строка 314 :-)

аха, значит опеновцы к тому же не читают сови исходники ;)