From: Evrim ULU (evrim@envy.com.tr)
Date: Mon 15 Jul 2002 - 16:40:16 EEST
Burak DAYIOGLU wrote:
> On Mon, 2002-07-15 at 16:21, Evrim ULU wrote:
>
>>obsd 3.0in pf'sinde bir sorun mu var? bridge fw yaptigim icin ne return-rst nede
>>return-icmp'lere cevap alamiyorum. Kodun bi yerinde sanirim bi sorun var ip'siz
>>interface'ten paket yaratamiyor. Block ediyor pek guzel yanliz nmap kabak gibi
>>all ports are filtered diyor haliyle.
>
>
> Merhaba Evrim,
> Bridging mode'da calistirdiginiz guvenlik duvarinin uzerindeki hic bir
> arayuzun bir IP adresi yok mu? Eger herhangi bir arayuze IP adresi
> vermediyseniz (ki ben mesajinizdan boyle anliyorum) return-rst ya da
> return-icmp gibi bir paket gonderebileceginizi dusunmuyorum.
>
> Eger bir arayuze IP adresi bindirmezseniz calisir durumda bir IP
> stack'iniz olmaz; o yokken de IP paketi uretip aga birakamazsiniz. Tersi
> konusunda bir bilgisi olan varsa dinlemek ve ogrenmek isterim.
>
Zaten sorun burada. IP'si olmadigi icin paket yaratamiyor. Ancak buna ihtiyaci
olmasi bana biraz anlamsiz geldi cunki yarattigi paketler zaten return-as-dest
yani spoofed. Bu durumda stack'i olmasi gerekir mi bilmiyorum acikcasi. Yada
virutal(pseudo) bir stack'i olsa da olur. Shu haldeyken calismasi gerekiyor
bence. Yoksa bridging firewall'in hicbir anlami kalmiyor.
Extra info:
Bir interface'e adress veriyorum pf yi enable ediyorum. Return-rst ve
return-icmp calisiyor. Ardindan interface'in ipsini delete ediyorum *ifconfig
ne4 delete* ile. Interface calisir halde kaliyor ama IP gidiyor. Boyle bir
durumda pf, return-rst yapabiliyor ama return-icmp yapamiyor. Bu cok ilginc bir
durum bence. Sanirim 3.0'da bir sorun var ama ben cozemedim.
Ben birde eskiden kurdugum iptables+bridge.o ile bunu deneyecegim az sonra.
Merak ettim ben bunun yapilabildigini saniyordum hic de denememistim o yuzden.
-- Evrim ULU evrim@envy.com.tr / evrim@core.gen.tr sysadm http://www.core.gen.tr----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------