* [mdk-re] Robert L. Ziegler `Linux Firewalls'
@ 2001-03-23 11:17 Alexandre Redko
2001-03-23 17:39 ` Sergey Vlasov
2001-03-23 18:12 ` Maksim Otstavnov
0 siblings, 2 replies; 6+ messages in thread
From: Alexandre Redko @ 2001-03-23 11:17 UTC (permalink / raw)
To: mandrake-russian
Добрый день!
Сейчас изучаю помаленьку subj и наткнулся на такую вещь:
"Некоторые диапазоны адресов зарезервированы IANA для использования в
дальнейшем. Эти адреса не должны появляться в составе пакетов, передаваемых
по Интернет. Поэтому следующий набор правил запрещает прохождение таких
пакетов, справедливо считая их фальшивыми."
Стал я добавлять приведенные в книге правила и все шло хорошо, пока я не
дошел до следующего:
ipchains -A input -i $EXTERNAL_INTERFACE -s 217.0.0.0/8 -j DENY -l
После добавления этого правила в логе появилась целая куча записей о
блокирования пакетов с адреса 217.73.192.65:80
Запустил я nslookup 217.73.192.65 и в ответ получил - images.rambler.ru
Вот и интересно мне: это автор ошибся или стандарт изменился или rambler'у
закон не писан?
Regards to All
Alexandr Redko
LU # 178842
ICQ # 75828152
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
2001-03-23 11:17 [mdk-re] Robert L. Ziegler `Linux Firewalls' Alexandre Redko
@ 2001-03-23 17:39 ` Sergey Vlasov
2001-03-23 21:29 ` Igor Solovyov
2001-03-23 18:12 ` Maksim Otstavnov
1 sibling, 1 reply; 6+ messages in thread
From: Sergey Vlasov @ 2001-03-23 17:39 UTC (permalink / raw)
To: mandrake-russian
On Fri, 23 Mar 2001 11:22:05 +0300
"Alexandre Redko" <Mandrake@zlkz.spnet.ru> wrote:
> Добрый день!
> Сейчас изучаю помаленьку subj и наткнулся на такую вещь:
> "Некоторые диапазоны адресов зарезервированы IANA для использования в
> дальнейшем. Эти адреса не должны появляться в составе пакетов, передаваемых
> по Интернет. Поэтому следующий набор правил запрещает прохождение таких
> пакетов, справедливо считая их фальшивыми."
>
> Стал я добавлять приведенные в книге правила и все шло хорошо, пока я не
> дошел до следующего:
>
> ipchains -A input -i $EXTERNAL_INTERFACE -s 217.0.0.0/8 -j DENY -l
>
> После добавления этого правила в логе появилась целая куча записей о
> блокирования пакетов с адреса 217.73.192.65:80
> Запустил я nslookup 217.73.192.65 и в ответ получил - images.rambler.ru
> Вот и интересно мне: это автор ошибся или стандарт изменился или rambler'у
> закон не писан?
RFC1918 (он же BCP0005):
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
В предыдущем RFC1597 было то же самое. А все остальное - от лукавого :-)
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
2001-03-23 11:17 [mdk-re] Robert L. Ziegler `Linux Firewalls' Alexandre Redko
2001-03-23 17:39 ` Sergey Vlasov
@ 2001-03-23 18:12 ` Maksim Otstavnov
2001-03-26 13:34 ` Alexandre Redko
1 sibling, 1 reply; 6+ messages in thread
From: Maksim Otstavnov @ 2001-03-23 18:12 UTC (permalink / raw)
To: Alexandre Redko
Hello Alexandre,
Friday, March 23, 2001, 11:22:05 AM, you wrote:
AR> Добрый день!
AR> Сейчас изучаю помаленьку subj и наткнулся на такую вещь:
AR> "Некоторые диапазоны адресов зарезервированы IANA для использования в
AR> дальнейшем. Эти адреса не должны появляться в составе пакетов, передаваемых
AR> по Интернет. Поэтому следующий набор правил запрещает прохождение таких
AR> пакетов, справедливо считая их фальшивыми."
AR> Стал я добавлять приведенные в книге правила и все шло хорошо, пока я не
AR> дошел до следующего:
AR> ipchains -A input -i $EXTERNAL_INTERFACE -s 217.0.0.0/8 -j DENY -l
А есть ли у Зиглера ссылка на документ, в котором это описано? Что-то
я про 217 не помню (хотя лет семь сетки не тяну, и мог что-то забыть,
или что-то могло поменяться). Раньше это, кажется, был BCP5.
Если ссылки нет, можно, наверное, у него спросить.
--
-- Maksim
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
2001-03-23 17:39 ` Sergey Vlasov
@ 2001-03-23 21:29 ` Igor Solovyov
0 siblings, 0 replies; 6+ messages in thread
From: Igor Solovyov @ 2001-03-23 21:29 UTC (permalink / raw)
To: mandrake-russian
Hi !
On Fri, 23 Mar 2001 17:43:18 +0300 Sergey Vlasov <vsu@mivlgu.murom.ru> wrote:
SV> > Вот и интересно мне: это автор ошибся или стандарт изменился или
SV> rambler'у
SV> > закон не писан?
SV>
SV> RFC1918 (он же BCP0005):
SV>
SV> 10.0.0.0 - 10.255.255.255 (10/8 prefix)
SV> 172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
SV> 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
SV>
SV> В предыдущем RFC1597 было то же самое. А все остальное - от лукавого :-)
а так же возможно диапазоны:
224-239 - класс D (групповая адресация, которая на стадии разработки)
240-254 - класс E (экспериментальные адреса)
Может в книге просто опечатка и имелись в виду адреса D и E сетей?
А сети 217 - всяко разно общедоступны.
--
Best regards!
Igor Solovyov
Zlatoust, Russia
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
2001-03-23 18:12 ` Maksim Otstavnov
@ 2001-03-26 13:34 ` Alexandre Redko
2001-03-26 21:15 ` Sergey Vlasov
0 siblings, 1 reply; 6+ messages in thread
From: Alexandre Redko @ 2001-03-26 13:34 UTC (permalink / raw)
To: mandrake-russian
Добрый день!
> А есть ли у Зиглера ссылка на документ, в котором это описано?
http://www.isi.edu/in-notes/iana/assignments/ipv4-address-space
Сам не проверял, поскольку в этом месяце отлучен от Веба за перебор лимита.
> Если ссылки нет, можно, наверное, у него спросить.
В книжке адреса нет, а искать не могу пока по уже указанной причине.
Regards to All
Alexandr Redko
LU # 178842
ICQ # 75828152
----- Original Message -----
From: "Maksim Otstavnov" <maksim@otstavnov.com>
To: "Alexandre Redko" <mandrake-russian@linuxteam.iplabs.ru>
Sent: Friday, March 23, 2001 6:17 PM
Subject: Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
> Hello Alexandre,
>
> Friday, March 23, 2001, 11:22:05 AM, you wrote:
>
> AR> Добрый день!
> AR> Сейчас изучаю помаленьку subj и наткнулся на такую вещь:
> AR> "Некоторые диапазоны адресов зарезервированы IANA для использования в
> AR> дальнейшем. Эти адреса не должны появляться в составе пакетов,
передаваемых
> AR> по Интернет. Поэтому следующий набор правил запрещает прохождение
таких
> AR> пакетов, справедливо считая их фальшивыми."
>
> AR> Стал я добавлять приведенные в книге правила и все шло хорошо, пока я
не
> AR> дошел до следующего:
>
> AR> ipchains -A input -i $EXTERNAL_INTERFACE -s 217.0.0.0/8 -j DENY -l
>
> А есть ли у Зиглера ссылка на документ, в котором это описано? Что-то
> я про 217 не помню (хотя лет семь сетки не тяну, и мог что-то забыть,
> или что-то могло поменяться). Раньше это, кажется, был BCP5.
>
> Если ссылки нет, можно, наверное, у него спросить.
>
> --
> -- Maksim
>
>
>
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@linuxteam.iplabs.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
>
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [mdk-re] Robert L. Ziegler `Linux Firewalls'
2001-03-26 13:34 ` Alexandre Redko
@ 2001-03-26 21:15 ` Sergey Vlasov
0 siblings, 0 replies; 6+ messages in thread
From: Sergey Vlasov @ 2001-03-26 21:15 UTC (permalink / raw)
To: mandrake-russian
On Mon, 26 Mar 2001 13:21:00 +0300
"Alexandre Redko" <Mandrake@zlkz.spnet.ru> wrote:
> Добрый день!
>
> > А есть ли у Зиглера ссылка на документ, в котором это описано?
>
> http://www.isi.edu/in-notes/iana/assignments/ipv4-address-space
>
> Сам не проверял, поскольку в этом месяце отлучен от Веба за перебор
> лимита.
Желаю успеха в следующем месяце :-)
>
> > Если ссылки нет, можно, наверное, у него спросить.
>
> В книжке адреса нет, а искать не могу пока по уже указанной причине.
Собственно говоря, вот весь этот документ:
===== кусь =====
INTERNET PROTOCOL ADDRESS SPACE
The allocation of Internet Protocol version 4 (IPv4) address space to
various registries is listed here. Originally, all the IPv4 address
spaces was managed directly by the IANA. Later parts of the address
space were allocated to various other registries to manage for
particular purposes or regional areas of the world. RFC 1466
documents most of these allocations.
Address Block Registry - Purpose Date
--------------- --------------------------------------- ------
000/8 IANA - Reserved Sep 81
001/8 IANA - Reserved Sep 81
002/8 IANA - Reserved Sep 81
003/8 General Electric Company May 94
004/8 Bolt Beranek and Newman Inc. Dec 92
005/8 IANA - Reserved Jul 95
006/8 Army Information Systems Center Feb 94
007/8 IANA - Reserved Apr 95
008/8 Bolt Beranek and Newman Inc. Dec 92
009/8 IBM Aug 92
010/8 IANA - Private Use Jun 95
011/8 DoD Intel Information Systems May 93
012/8 AT&T Bell Laboratories Jun 95
013/8 Xerox Corporation Sep 91
014/8 IANA - Public Data Network Jun 91
015/8 Hewlett-Packard Company Jul 94
016/8 Digital Equipment Corporation Nov 94
017/8 Apple Computer Inc. Jul 92
018/8 MIT Jan 94
019/8 Ford Motor Company May 95
020/8 Computer Sciences Corporation Oct 94
021/8 DDN-RVN Jul 91
022/8 Defense Information Systems Agency May 93
023/8 IANA - Reserved Jul 95
024/8 IANA - Cable Block Jul 95
025/8 Royal Signals and Radar Establishment Jan 95
026/8 Defense Information Systems Agency May 95
027/8 IANA - Reserved Apr 95
028/8 DSI-North Jul 92
029/8 Defense Information Systems Agency Jul 91
030/8 Defense Information Systems Agency Jul 91
031/8 IANA - Reserved Apr 99
032/8 Norsk Informasjonsteknologi Jun 94
033/8 DLA Systems Automation Center Jan 91
034/8 Halliburton Company Mar 93
035/8 MERIT Computer Network Apr 94
036/8 IANA - Reserved Jul 00
(Formerly Stanford University) Apr 93
037/8 IANA - Reserved Apr 95
038/8 Performance Systems International Sep 94
039/8 IANA - Reserved Apr 95
040/8 Eli Lily and Company Jun 94
041/8 IANA - Reserved May 95
042/8 IANA - Reserved Jul 95
043/8 Japan Inet Jan 91
044/8 Amateur Radio Digital Communications Jul 92
045/8 Interop Show Network Jan 95
046/8 Bolt Beranek and Newman Inc. Dec 92
047/8 Bell-Northern Research Jan 91
048/8 Prudential Securities Inc. May 95
049/8 Joint Technical Command May 94
Returned to IANA Mar 98
050/8 Joint Technical Command May 94
Returned to IANA Mar 98
051/8 Deparment of Social Security of UK Aug 94
052/8 E.I. duPont de Nemours and Co., Inc. Dec 91
053/8 Cap Debis CCS Oct 93
054/8 Merck and Co., Inc. Mar 92
055/8 Boeing Computer Services Apr 95
056/8 U.S. Postal Service Jun 94
057/8 SITA May 95
058/8 IANA - Reserved Sep 81
059/8 IANA - Reserved Sep 81
060/8 IANA - Reserved Sep 81
061/8 APNIC - Pacific Rim Apr 97
062/8 RIPE NCC - Europe Apr 97
063/8 ARIN Apr 97
064/8 ARIN Jul 99
065/8 ARIN Jul 00
066/8 ARIN Jul 00
067-095/8 IANA - Reserved Sep 81
096-126/8 IANA - Reserved Sep 81
127/8 IANA - Reserved Sep 81
128-191/8 Various Registries May 93
192/8 Various Registries - MultiRegional May 93
193/8 RIPE NCC - Europe May 93
194/8 RIPE NCC - Europe May 93
195/8 RIPE NCC - Europe May 93
196/8 Various Registries May 93
197/8 IANA - Reserved May 93
198/8 Various Registries May 93
199/8 ARIN - North America May 93
200/8 ARIN - Central and South America May 93
201/8 Reserved - Central and South America May 93
202/8 APNIC - Pacific Rim May 93
203/8 APNIC - Pacific Rim May 93
204/8 ARIN - North America Mar 94
205/8 ARIN - North America Mar 94
206/8 ARIN - North America Apr 95
207/8 ARIN - North America Nov 95
208/8 ARIN - North America Apr 96
209/8 ARIN - North America Jun 96
210/8 APNIC - Pacific Rim Jun 96
211/8 APNIC - Pacific Rim Jun 96
212/8 RIPE NCC - Europe Oct 97
213/8 RIPE NCC - Europe Mar 99
214/8 US-DOD Mar 98
215/8 US-DOD Mar 98
216/8 ARIN - North America Apr 98
217/8 RIPE NCC - Europe Jun 00
218/8 APNIC - Pacific Rim Dec 00
219-223/8 IANA - Reserved Sep 81
224-239/8 IANA - Multicast Sep 81
240-255/8 IANA - Reserved Sep 81
===== кусь =====
Но правила фильтрации писать, думаю, лучше не по нему, а по BCP 5 и прочим RFC. Мало ли кому еще адреса отдадут.
Все-таки странно, откуда мог взяться этот 217...
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2001-03-26 21:15 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2001-03-23 11:17 [mdk-re] Robert L. Ziegler `Linux Firewalls' Alexandre Redko
2001-03-23 17:39 ` Sergey Vlasov
2001-03-23 21:29 ` Igor Solovyov
2001-03-23 18:12 ` Maksim Otstavnov
2001-03-26 13:34 ` Alexandre Redko
2001-03-26 21:15 ` Sergey Vlasov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git