ALT Linux Sisyphus discussions
 help / color / mirror / Atom feed
* [sisyphus] мистика.
@ 2003-10-11 11:53 Peter V. Saveliev
  2003-10-11 18:50 ` vsu
  0 siblings, 1 reply; 2+ messages in thread
From: Peter V. Saveliev @ 2003-10-11 11:53 UTC (permalink / raw)
  To: sisyphus

...

В общем, бред таков:

[root@backup01 root]# iptables -L -n -v
Chain INPUT (policy ACCEPT 5279 packets, 660K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       192.168.111.2        255.255.255.255    

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4573 packets, 629K bytes)
 pkts bytes target     prot opt in     out     source               destination         

[root@backup01 root]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 5239 packets, 659K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   16  5248 DROP       all  --  *      *       192.168.111.2        0.0.0.0/0          

Chain INPUT (policy ACCEPT 5239 packets, 659K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4565 packets, 628K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 4565 packets, 628K bytes)
 pkts bytes target     prot opt in     out     source               destination

[root@backup01 root]# tail -2 /var/log/messages
Oct 11 15:40:18 backup01 dhcpd: DHCPINFORM from 192.168.111.2 via eth0: unknown subnet 0.0.0.0
Oct 11 15:40:42 backup01 last message repeated 3 times

Напомню первую серию: фильтр в INPUT, как оказалось, не мешает dhcpd
гадить в сислог. Не это плохо. Плохо то, что dhcpd ловит те пакеты,
которые должны быть дропнуты.

Что было дальше: решение, что PREROUTING обрабатывает пакеты раньше, чем
INPUT, показалось мудрым, и я воткнул DROP в PREROUTING. Не помогло :)

А было и такое:

[root@backup01 root]# ip rule list
0:	from all lookup local 
32765:	from 192.168.111.2 lookup dead 
32766:	from all lookup main 
32767:	from all lookup default 

[root@backup01 root]# ip route list table dead
blackhole default 

Что тоже, как понятно, не помешало dhcpd обработать пакет, который никто
не должен был обработать.


Что я не понимаю? Почему приложение обрабатывает пакет раньше, чем
netfilter? чем iproute? Уже целую неделю чувствую себя дурным и сон мой
тревожен.

-- 
 15:42:50  up 30 days,  2:59,  4 users,  load average: 0.75, 0.69, 0.90

++
Sincerely, Peter V. Saveliev

E-mail: peet@eltel.net
Jabber: peet@jabber.ru



^ permalink raw reply	[flat|nested] 2+ messages in thread
end of thread, other threads:[~2003-10-11 18:50 UTC | newest]

Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-11 11:53 [sisyphus] мистика Peter V. Saveliev
2003-10-11 18:50 ` vsu

ALT Linux Sisyphus discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
		sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
	public-inbox-index sisyphus

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sisyphus


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git