OpenForum RSS: ipfw counter считает не все пакеты? https://opennet.dev/openforum/vsluhforumID1/96885.html Здравствуйте!<br><br>Столкнулся с ненормальным поведением ipfw. <br>На машине [FreeBSD 11.0-STABLE] стоит isc-dhcpd. Машина используется для различных тестов. В частности сейчас мне нужно внедрить netgraph в исходящее правило, а оно не срабатывает.<br>Смотрю на каунтерсы, а они не меняются:<br>[code]<br> # ipfw show<br>00100 5848 10090294 allow ip from any to any via lo0<br>00105 0 0 count ip from any to any proto udp out xmit em1<br>00110 0 0 count ip from any to any src-port 67 out xmit em1.512<br>00115 3 1143 count ip from any to any dst-port 67 in via em1.512<br>00120 0 0 count ip from any to any out via em1.512<br>[/code]<br>при этом tail /var/log/dhcpd.log :<br>[code]<br>May 12 13:51:16 &lt;daemon.info&gt; test dhcpd: DHCPREQUEST for 172.18.27.5 from 00:1b:24:45:44:52 (tazik) via em1.512<br>May 12 13:51:16 &lt;daemon.info&gt; test dhcpd: DHCPACK on 172.18.27.5 to 00:1b:24:45:44:52 (tazik) via em1.512<br>[/code]<br>и tazik получает ответ, и tcpdump видит пакет, и ng_tee на уровне ng_ether все видит, а ipf ipfw counter считает не все пакеты? (gardener) https://opennet.dev/openforum/vsluhforumID1/96885.html#6 Mon, 22 May 2017 14:58:32 GMT &gt;&gt;&gt; Читайте про net.link.ether.ipfw.<br><br>Благодарю за информацию. После установки этой переменной в 1 счетчики нормально считают весь исходящий трафик.<br><br>&gt;&gt; Я конечно не гуру, но по-моему BPF не интерфейс, а фильтр. Им <br>&gt;&gt; могут фильтроваться, но не формироваться и не отправляться пакеты?<br>&gt; Прочтите man 4 bpf <br><br>Ага! [code]A packet can be sent out on the network by writing to a bpf file descriptor.[/code]То есть isc-dhcp пишет в дескриптор символьного устройства, не в сокет или куда, а именно в дескриптор /dev/bpf.<br>Понял. Благодарю.<br> ipfw counter считает не все пакеты? (gardener) https://opennet.dev/openforum/vsluhforumID1/96885.html#5 Fri, 19 May 2017 12:39:36 GMT &gt; DHCP клиент формирует весь пакет со всеми заголовками и отправляет его прямо <br>&gt; в интерфейс используя BPF и минуя IP стек.<br><br>Только в моем случае "сервер".<br><br>&gt; В приведённом вами выводе счётчики растут только для входящих пакетов. Так как <br>&gt; исходящий пакет отправляется мимо IP стека, PFIL хук файрвола не вызывается. <br><br>Да, счетчики я приводил для проблемной машины. На другой счет ведется. Но тут после Вашего сообщения вспомнил, что на проблемной DHCP сервер отдает все бродкастом.<br>И точно, если отключить "always-broadcast off;", то счетчики считают, правда только offer-ы, аки улетают неучтенными :)<br>А в случае с "always-broadcast on;" не считают ничего.<br><br>В общем пошел читать. Направление похоже верное ;) <br> ipfw counter считает не все пакеты? (butcher) https://opennet.dev/openforum/vsluhforumID1/96885.html#4 Fri, 19 May 2017 11:50:02 GMT &gt;&gt; DHCP не использует IP стек для отправки пакетов, пакеты формируются и отправляются <br>&gt;&gt; через BPF. От сюда и ограничение, чтобы ipfw мог видеть и <br>&gt;&gt; блокировать такие пакеты, вам нужно это делать на layer2. Читайте про <br>&gt;&gt; net.link.ether.ipfw.<br>&gt; Я конечно не гуру, но по-моему BPF не интерфейс, а фильтр. Им <br>&gt; могут фильтроваться, но не формироваться и не отправляться пакеты?<br><br>Прочтите man 4 bpf<br><br>&gt; И как может не участвовать стек IP, если dhcp пакет имеет заголовки <br>&gt; вплоть до L7?<br><br>DHCP клиент формирует весь пакет со всеми заголовками и отправляет его прямо в интерфейс используя BPF и минуя IP стек.<br><br>&gt; С другой стороны, на машине, на которой счетчики исправно растут (о чем <br>&gt; я упоминал ранее) значение переменной net.link.ether.ipfw = 0.<br><br>В приведённом вами выводе счётчики растут только для входящих пакетов. Так как исходящий пакет отправляется мимо IP стека, PFIL хук файрвола не вызывается.<br><br>PFIL хуки вызываются из функций IP стека ip_input(), ip_output() и ip_tryforward(). В случае отправ ipfw counter считает не все пакеты? (gardener) https://opennet.dev/openforum/vsluhforumID1/96885.html#3 Thu, 18 May 2017 20:04:17 GMT &gt; DHCP не использует IP стек для отправки пакетов, пакеты формируются и отправляются <br>&gt; через BPF. От сюда и ограничение, чтобы ipfw мог видеть и <br>&gt; блокировать такие пакеты, вам нужно это делать на layer2. Читайте про <br>&gt; net.link.ether.ipfw.<br><br>Я конечно не гуру, но по-моему BPF не интерфейс, а фильтр. Им могут фильтроваться, но не формироваться и не отправляться пакеты? <br>И как может не участвовать стек IP, если dhcp пакет имеет заголовки вплоть до L7?<br><br>С другой стороны, на машине, на которой счетчики исправно растут (о чем я упоминал ранее) значение переменной net.link.ether.ipfw = 0.<br><br>Ну и все статьи о "net.link.ether.ipfw" касаются фильтрации по MAC. А мне это ни к чему. Я не знаю MAC-ов. В том смысле что какие есть, все хороши.<br> ipfw counter считает не все пакеты? (butcher) https://opennet.dev/openforum/vsluhforumID1/96885.html#2 Wed, 17 May 2017 08:04:20 GMT &gt; Хочу добавить, что исходящие icmp пакеты ipfw все-таки регистрирует.<br>&gt; Но вот непонятно почему udp игнорирует?!<br><br>DHCP не использует IP стек для отправки пакетов, пакеты формируются и отправляются через BPF. От сюда и ограничение, чтобы ipfw мог видеть и блокировать такие пакеты, вам нужно это делать на layer2. Читайте про net.link.ether.ipfw.<br> ipfw counter считает не все пакеты? (gardener) https://opennet.dev/openforum/vsluhforumID1/96885.html#1 Mon, 15 May 2017 14:27:02 GMT Хочу добавить, что исходящие icmp пакеты ipfw все-таки регистрирует.<br>Но вот непонятно почему udp игнорирует?!<br>