URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2049
[ Назад ]

Исходное сообщение
"Помогите разобраться с конфигурацией iptables"
Отправлено mylan , 25-Апр-05 16:08

что означает правило
-A INPUT -d 192.168.255.255 -i eth0 -j ACCEPT
где eth0 - внешний интерфейс. Как я понимаю, это правило разрешает
входящие широковещетельные пакеты. А зачем?
-A INPUT -s 194.168.203.148 -i lo -j ACCEPT
где указанный ip - ip провайдера. Ключик -i означает интерфейс-источник.
Как пакеты с айпи провайдера могут попадать в ядро с локального интерфейса?

Содержание

Помогите разобраться с конфигурацией iptables,Асен Тотин, 00:37 , 26-Апр-05
Помогите разобраться с конфигурацией iptables,mylan, 09:58 , 26-Апр-05
- Помогите разобраться с конфигурацией iptables,Асен Тотин, 12:03 , 26-Апр-05
  - Помогите разобраться с конфигурацией iptables,mylan, 14:09 , 27-Апр-05

Сообщения в этом обсуждении

"Помогите разобраться с конфигурацией iptables"
Отправлено Асен Тотин , 26-Апр-05 00:37

Привет,
>что означает правило
>-A INPUT -d 192.168.255.255 -i eth0 -j ACCEPT
>где eth0 - внешний интерфейс. Как я понимаю, это правило разрешает
>входящие широковещетельные пакеты. А зачем?
Это правило разрешает вхождение в машину всех пакетов с адресом назначения 192.168.255.255, если они поступили черен интерфейс eth0. Является ли при этом адрес 192.168.255.255 широковещательным или нет, зависит от сетевой маски. Смысл разрешить широковещательные пакеты - чтоб ваша система могла на них отвечать. Если непонятно что такое "broadcast" пакет, то вопрост над оставить иначе.
>-A INPUT -s 194.168.203.148 -i lo -j ACCEPT
>где указанный ip - ip провайдера. Ключик -i означает интерфейс-источник.
>Как пакеты с айпи провайдера могут попадать в ядро с локального интерфейса?
Ключик "-i" - входящий интерфейс, а могут туда попасть пакеты разными путями... завити от того, чем занимается ваша машина.
WWell,

"Помогите разобраться с конфигурацией iptables"
Отправлено mylan , 26-Апр-05 09:58

Во-первых, спасибо отклик.
Во-вторых, машина эта - шлюз в инет. На ней два реальных интерфейса: внутренний eth1
(IPADDR=192.168.0.13
NETMASK=255.255.0.0
NETWORK=192.168.0.0
BROADCAST=0.0.255.255)
и внешний eth0 (приведены для образца нереальные, но похожие значения)
(IPADDR=81.208.197.11
NETMASK=255.255.255.248
NETWORK=81.208.197.8
BROADCAST=81.208.197.15)
Правильно ли то, что если стоит -i eth0, то это значит, что рассматриваются пакеты, приходящие из инета? Если да, то тогда я не понимаю как или зачем или от кого оттуда могут приходить такие:
-d 192.168.255.255
Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей.
И, соответственно, разве может по инету гулять такой пакет?
То же и со вторым правилом.
Как пакеты от провайдера могут попадать на петлю? Или для чего это правило служит?

"Помогите разобраться с конфигурацией iptables"
Отправлено Асен Тотин , 26-Апр-05 12:03

Привет,
>Правильно ли то, что если стоит -i eth0, то это значит, что
>рассматриваются пакеты, приходящие из инета?
Да.
Если да, то тогда я не
>понимаю как или зачем или от кого оттуда могут приходить такие:
>-d 192.168.255.255
>Насколько я понимаю, адреса 192.168.255.255 выделены для локальных сетей.
>И, соответственно, разве может по инету гулять такой пакет?
Вполне может. Во-первых, есть такая вещь как spoof адреса источника - при наличие полноценното IP стэка на данной OS, это несложно оригназовать программными средствами (все UNIX-подобные системы и Windows начиная с 2000).
Вторая причина - то, что эти адреса выделены для частных сетей не значит, что никто не обязан их маршрутизировать. Немногие провайдеры склонны запустить в своей сети верификацию адреса источника, что требует немалых CPU затрат на рутерах. Большинство просто передают в интернет по своим маршрутав то, что получают...
WWell,

"Помогите разобраться с конфигурацией iptables"
Отправлено mylan , 27-Апр-05 14:09

Опять таки. Спасибо.
Ну и наконец, на кой мне нужно разрешать эти пакеты. Это правило осталось от предыдущего сисадмина. Может его грохнуть? :)