фильтр пакетов в OpenBSD 3.6

0

0

Есть такое правило:

pass out on fxp0 proto tcp all flags S/SA keep state

В вопросе я бы хотел разобраться с флагами.

Я правильно понимаю: это правило пройдут только те пакеты протокола tcp, которые _покидают_ интерфейс fxp0 и у которых _устанвлены_флаги_ либо S либо SA?

Разъясните, плиз!

Ссылка

←	Заголовки через htaccess

Подсчет трафика локальной сети

→

> это правило пройдут только те пакеты протокола tcp, которые _покидают_ интерфейс fxp0

да 

> и у которых _устанвлены_флаги_ либо S либо SA? 
нет

From the FM:
---
flags S/SA  Out of SYN and ACK, exactly SYN may be set.  SYN,
            SYN+PSH and SYN+RST match, but SYN+ACK, ACK and ACK+RST
            do not.  This is more restrictive than the previous ex                     ample.
--

phoenix ★★★★
(05.12.05 11:45:48 MSK)

Ответ на: комментарий от phoenix 05.12.05 11:45:48 MSK

я это уже читал. Можно _разъяснить_??? Так как мне это кажется не логично!!!

anonymous
(05.12.05 12:32:01 MSK)

Ответ на: комментарий от anonymous 05.12.05 12:32:01 MSK

разъясняю, flags S/SA означает, что пакет удовлетворяет этому правило тогда и только тогда, когда из флагов SYN и ACK установлен только SYN. Что тут нелогичного/непонятного?

phoenix ★★★★
(05.12.05 12:38:29 MSK)

Ответ на: комментарий от anonymous 05.12.05 12:32:01 MSK

А вот здесь есть рассуждения на тему какие флаги можно/нужно указывать http://www.monkey.org/openbsd/archive/misc/0207/msg01905.html

phoenix ★★★★
(05.12.05 12:58:18 MSK)

Ссылка

Ответ на: комментарий от phoenix 05.12.05 12:38:29 MSK

хорошо, объясни плиз логику этого правила

anonymous
(05.12.05 13:05:44 MSK)

Ответ на: комментарий от anonymous 05.12.05 13:05:44 MSK

правило ты писал, почему я в нем должен логику искать :)

Очевидно, данному правилу не соответствуют одиночные пакеты с SYN+ACK или ACK и выпускаться они не будут (если других правил нет). Например, nmap использует ACK в режиме ACK scan, значит это правило, потенциально, обломит скан.

Вот и вся логика. Лучше объясни, чего хочется

phoenix ★★★★
(05.12.05 13:32:46 MSK)

Ответ на: комментарий от phoenix 05.12.05 13:32:46 MSK

Спасибо!

...изучаю фильтр пакетов pf в OpenBSD =)
уж очень там все не логично после iptables ))

anonymous
(05.12.05 17:49:23 MSK)

Ссылка

Ответ на: комментарий от phoenix 05.12.05 13:32:46 MSK

глупо то, что можно было бы написать что _НЕ_НУЖНЫ_ASK_пакеты. Причем тут SYN?

anonymous
(05.12.05 17:53:21 MSK)

Ответ на: комментарий от anonymous 05.12.05 17:53:21 MSK

Там написано ровно следующее: "пускать только пакеты, инициирующие соединение, причем пакеты лишь с определенной комбинацией флагов (S из SA)", все, ничего более.

ЗЫ А мне, вот, pf более понятен, чем iptables (IMHO, no flame here! :))

phoenix ★★★★
(05.12.05 18:04:09 MSK)

Ответ на: комментарий от phoenix 05.12.05 18:04:09 MSK

Видишь, и ты теперь заблуждаешься =))

ASK + PSH тоже инициируют соединение?!!!!!!!!!!!!!!!!!!! НЕТ!!!!

From the FM:
---
flags S/SA Out of SYN and ACK, exactly SYN may be set. SYN,
SYN+PSH and SYN+RST match, but SYN+ACK, ACK and ACK+RST
do not. This is more restrictive than the previous ex ample.
--

anonymous
(06.12.05 04:26:00 MSK)

Ответ на: комментарий от anonymous 06.12.05 04:26:00 MSK

млин, ACK+PSH и не пройдет :) SYN должен быть _обязательно_ (exactly SYN may be set). В конце-концов можно написать S/URSAF, почитай mail list по ссылке, которую я давал.

phoenix ★★★★
(06.12.05 07:08:07 MSK)

Ответ на: комментарий от phoenix 06.12.05 07:08:07 MSK

пардон, ошибся, я хотел сказать, причем тут SYN+PSH??? такой набор не относится к тройному рукопожатию! =))

anonymous
(06.12.05 11:05:57 MSK)

Ответ на: комментарий от anonymous 06.12.05 11:05:57 MSK

Просто полным перечислением отсекают некоторые виды сканирования портов в первом сегменте должен быть ТОЛЬКО SYN хотя Стивенс писал что некоторые ОСи могут выставлять и еще какие-то флаги в первом сегменте но это вроде не соответствует RFC, поэтому "ф сад".

anonymous
(06.12.05 12:39:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Заголовки через htaccess

Admin

Подсчет трафика локальной сети

→

Похожие темы