* [sisyphus] мистика.
@ 2003-10-11 11:53 Peter V. Saveliev
2003-10-11 18:50 ` vsu
0 siblings, 1 reply; 2+ messages in thread
From: Peter V. Saveliev @ 2003-10-11 11:53 UTC (permalink / raw)
To: sisyphus
...
В общем, бред таков:
[root@backup01 root]# iptables -L -n -v
Chain INPUT (policy ACCEPT 5279 packets, 660K bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 192.168.111.2 255.255.255.255
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4573 packets, 629K bytes)
pkts bytes target prot opt in out source destination
[root@backup01 root]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 5239 packets, 659K bytes)
pkts bytes target prot opt in out source destination
16 5248 DROP all -- * * 192.168.111.2 0.0.0.0/0
Chain INPUT (policy ACCEPT 5239 packets, 659K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4565 packets, 628K bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 4565 packets, 628K bytes)
pkts bytes target prot opt in out source destination
[root@backup01 root]# tail -2 /var/log/messages
Oct 11 15:40:18 backup01 dhcpd: DHCPINFORM from 192.168.111.2 via eth0: unknown subnet 0.0.0.0
Oct 11 15:40:42 backup01 last message repeated 3 times
Напомню первую серию: фильтр в INPUT, как оказалось, не мешает dhcpd
гадить в сислог. Не это плохо. Плохо то, что dhcpd ловит те пакеты,
которые должны быть дропнуты.
Что было дальше: решение, что PREROUTING обрабатывает пакеты раньше, чем
INPUT, показалось мудрым, и я воткнул DROP в PREROUTING. Не помогло :)
А было и такое:
[root@backup01 root]# ip rule list
0: from all lookup local
32765: from 192.168.111.2 lookup dead
32766: from all lookup main
32767: from all lookup default
[root@backup01 root]# ip route list table dead
blackhole default
Что тоже, как понятно, не помешало dhcpd обработать пакет, который никто
не должен был обработать.
Что я не понимаю? Почему приложение обрабатывает пакет раньше, чем
netfilter? чем iproute? Уже целую неделю чувствую себя дурным и сон мой
тревожен.
--
15:42:50 up 30 days, 2:59, 4 users, load average: 0.75, 0.69, 0.90
++
Sincerely, Peter V. Saveliev
E-mail: peet@eltel.net
Jabber: peet@jabber.ru
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [sisyphus] мистика.
2003-10-11 11:53 [sisyphus] мистика Peter V. Saveliev
@ 2003-10-11 18:50 ` vsu
0 siblings, 0 replies; 2+ messages in thread
From: vsu @ 2003-10-11 18:50 UTC (permalink / raw)
To: sisyphus
[-- Attachment #1: Type: text/plain, Size: 533 bytes --]
On Sat, Oct 11, 2003 at 03:53:04PM +0400, Peter V. Saveliev wrote:
> Что я не понимаю? Почему приложение обрабатывает пакет раньше, чем
> netfilter? чем iproute? Уже целую неделю чувствую себя дурным и сон мой
> тревожен.
dhcpd получает пакеты через packet socket - в обход всех протоколов и
т.п., точно так же, как tcpdump и прочие подобные программы. Поэтому
отфильтровать пакеты для него внешними средствами не получится. Хотя
на packet socket можно повесить фильтр (tcpdump это делает); не знаю,
можно ли это сделать в dhcpd.
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2003-10-11 18:50 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-11 11:53 [sisyphus] мистика Peter V. Saveliev
2003-10-11 18:50 ` vsu
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git