iptables & broadcast packet
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Březen 10 23:42:27 CET 2001
On Thu, 8 Mar 2001, Tomas Rollbach wrote:
> lze v iptables nejak udelat pravidlo "plati pro broadcast TCP packet"?
To neni spravna otazka, jak by rekl pan profesor V. K.
TCP a broacast je vlastne nesmyslna kombinace a kazdy koncovy uzel by mel
non-unicast datagramy, ktere o sobe tvrdi, ze jsou TCP, zahazovat.
Kupodivu existuji implementace TCP, ktere na ne s radosti reaguji (obcas
v odpovedi pouziji pro vetsi legraci zminenou non-unicast adresu jako
zdrojovou). Ale tak uz to chodi a Murphyho zakony zarucuji, ze kdyz se
neco nejakym zpusobem muze pokazit, tak se najde nekdo, kdo to tak pokazi.
Cili jde o to, zda pozname datagramy, na kterych je napsano, ze jsou TCP,
ale nejsou unicastove. To pozname VYHRADNE podle cilove adresy, zadny IP
flag na broadcast neni, a to bud IP adresy, nebo adresy na linkove vrstve,
napr. Ethernetu. V prvnim pripade se ovsem bez znalosti netmasky obecne
neobejdeme, protoze v ruzne konfigurovanych subnetech jsou broadcastove
adresy ruzne. V druhem pripade je mozno, aspon u toho Ethernetu, lze
vsechny unicastove adresy poznat tak, ze maji jisty bit nulovy.
<rant> Tohle IMHO demonstruje, ze prinejmensi nektere veci, jako nastaveni
sitovych filtru, lze jen tezko delat poradne, kdyz nerozumim tomu, jak
to funguje (bez urazky). </rant>
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux