Ключові слова: freebsd, ipfw, divert, firewall, (знайти схожі документи)
_ RU.UNIX.BSD (2: 5077 / 15.22) _____________________________________ RU.UNIX.BSD _
From. Anatoly A. Orehovsky 2: 5020/400 23 Oct 99 22:18:08
Subj. як працює правило divert
________________________________________________________________________________
From: [email protected] (Anatoly A. Orehovsky)
Valentin Davydov ([email protected]) wrote:
А все-таки, поясніть, як працює правило divert? Ось, наприклад,
ipfw add divert 1234 tcp from any to $ # 123; my_ip # 125; 123 via $ # 123; local_if # 125; in
. загортає tcp пакети, що прийшли на 123 порт з локалки, на порт
С'емуліровать роботу по TCP при цьому можна тільки, якщо слухає
програма має крім divert для input ще і відкритий RAW-сокет
для output. І хитрі правила, щоб вихідний через цей raw-сокет
трафік знову в діверт не потрапив.
І доведеться повністю емулювати TCP. Загалом, невдячна це
заняття. Тим більше, що все буде відбуватися в user level.
Це якщо приходить трафік прямо в діверт-демона обробляти.
Є варіант, правда, такого плану - діверт-правило загортає в
діверт приходить на x-порт трафік і йде з y-порту. Hа y-порту
повинен сидіти якийсь звичайний tcp-демон.
А на діверт-сокеті сидить програмка, яка приймає трафік на x-порт
і пхає його в локальний y-порт. А також, що приймає трафік з
y-порту і розпихати по peerам, які прийшли на x-порт. коротше,
libalias: PacketAliasRedirectPort (3). Знову ж таки, з усіма принадами
user-level. І іншим гемороєм.
1234. Припустимо, там слухає netcat, який ці пакети обробляє
Оригінальний netcat ні в якому разі не піде. Правити його доведеться.
Аж до повного переписування.
До того ж, 1234 - зовсім не схожий на звичайний tcp-порт. Мало того,
що инициализируется не так, так ще і туди будуть валитися ПОЛHИЕ
ip-дейтаграми. А зовсім навіть не tcp-stream. Відразу в повний зріст
постає проблема з вилову tcp-сесій та інші заморочки.
і посилає відповіді (tcp все-таки, як не як). Як скласти правило,
. щоб ці пакети йшли назад в локалку з того ж 123 порту?
Ось для такого завдання ідеально підходить правило fwd з форваженіем на
локальний порт. Тут і netcat піде, і що завгодно ще. Цілковито
стандартне. При цьому, tcp peer матиме повне враження, що
працює з тим, що замовляв (див. transparent proxy).
А на divert в даному випадку краще не звертати увагу.
Рецензія на Lost Chron. Ігри, зроблені без любові і старання, схожі на повітряну кулю - оболонка є, а всередині порожньо. Lo.
Рецензія на The Bridge «Верх» і «низ» в The Bridge - поняття відносні. Прогулюючись під аркою, можна запросто перей.
Рецензія на SimCity Коли місяць тому відбувся реліз SimCity, по Мережі прокотилося цунамі народного гніву - дурні ош.
Рецензія на Strategy . Назва Strategy Tactics: World War II навряд чи комусь знайоме. Зате одного погляду на її скри.
Рецензія на гру Scrib. За традицією, що склалася в інформаційній картці гри ми наводимо в приклад декілька схожих ігор.
Рецензія на гру Walki. Зомбі і продукція-по-ліцензії - які і самі по собі не найкращі представники ігрової біосфери -.