[BSD] Re: Re: halozat nem megy

2005. Május. 24., K, 23:45:56 CEST

Kassai Istvan wrote:
>>>ha a notebookkal sniffelem egy cross-kabelen keresztul a gepemet, akkor
>>>kiderul, hogy egy bit nem sok, de annyi sem hagyja el a halokartyat.
>>
>>Áááááá!
>>Tűzfal!
>>
>>ipfw show
> 
> 
> Na, ennek van otputtya:
> 
> 65535 690 57402 allow ip from any to any
> 
> Ez mit jelent?

Sajnos azt, hogy nem ez okozza a bajt, mert minden csomagot 
mindenhonnan/mindenhova enged. Ha a többi csomaszűró lekérdező nem ad 
semmit, akkor nem itt van a gubanc. Amúgy:
szabálysorszám csomagok_száma bájt_szám csomagszűrő szabály

(Valaki aki mostanában telepített 5.4-et, igazán benyöghetné, hogy abban 
alapból a három csomagszűrőből melyik, milyen beállításban van belőve. 
Pl: az ipfw -n alap a mindent tilt, de lehet úgy forgatni a kernelt, 
hogy alapból mindent engedjen (ez látszik a fenti 65535 -ös szabályban)
ipf -nél fordítva: alapból mindent enged, de lehet úgy forgatni kernelt, 
hogy alapból mindent tiltson (viszont az ipfw -vel szemben, ha jól 
emlékszem, az alapértelmezett enged/tilt nem jelenik meg szabályként, 
csak amikor a kernel inicializálja az ipf -et, akkor írja ki, hogy 
Default = pass all - vagy block all). Ezzel szemben pl. pf -nél nem 
tudom mi az alap, és lehet-e változtatni (és azt se, h szabályként 
megjelenik-e.)

> Azt is eszrevettem, hogy ha a sajat kartyajat pingelem (ping -f
> 192.168.150.201), akkor 13-14% koruli csomagvesztes van. Aztan az 1.
> konzolon lattam olyat, hogy 246 csomagot akart kuldeni 200 helyett, es a
> maradekot dobta. gondolom a 13-14% ebbol jott ki.
> Eztr csak azert emlitem, mert ebbol is ugy tunik, mintha valami
> korlatozna a forgalmat mar magan a gepen belul is

Ez önmagában nem gond, ezt az alapból beállított:

sysctl net.inet.icmp.icmplim

limitálja az X idő alatt kiküldött icmp echo reply -t (és asszem a reset 
-et is), nálam is 200-ra van belőve, pedig nem nyúltam hozzá.

Esetleg még nézd meg az ipf -V -t is, ez az IPFilter alapértelmezett 
szabályát is megmondja (ha egyáltalán van abban a kernelben IPFilter. 
Azt már tudjuk, hogy ipfw van.

Viszont most így egyelőre nincs több ötletem :-(
Ezért aztán:

1) a legelső leveledben írtál egy ilyet, h ping, eltűnődik, majd 
aszongya 'host is down'. Bármilyen létező/nem létező/lokális/nem lokális 
címre ugyanúgy? Mennyi az az "eltűnődik"? Mindig ugyanannyi? Mindig ezt 
a hibaüzenetet kapod, vagy kapsz másfélét is?
2) minél több hasznos infót mesélj a telepítésről: milyen telepítés: 
hálós/CD-s; 5.4-RELEASE, vagy valamelyik RC? Milyen beállításokkal tetted?

Zahy < Gabor at Zahemszky dot HU >

Ui: és ha egyszer ott van egy laptop is a közelében, akkor a legjobb 
lenne egy soros madzaggal összekötni őket, és a laptopről valami 
kermit/cu/minicom/akármi segítségével logolni a dolgokat

-- 
#!/bin/ksh
Z='21N16I25C25E30, 40M30E33E25T15U!' ;IFS=' ABCDEFGHIJKLMNOPQRSTUVWXYZ 
';set $Z ;for i { [[ $i = ? ]]&&print $i&&break;[[ $i = ??? 
]]&&j=$i&&i=${i%?};typeset -i40 i=8#$i;print -n ${i#???};[[ "$j" = ??? 
]]&&print -n "${j#??} "&&j=;typeset +i i;};IFS=' 0123456789 ';set $Z;for 
i { [[ $i = , ]]&&i=2;[[ $i = ?? ]]||typeset -l i;j="$j $i";typeset +l 
i;};print "$j"