Re: Fragen zu pf

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Wed, 22 Feb 2006 08:51:29 +0100 (CET)

Fabian Keil <freebsd-listen(at)fabiankeil.de> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > Dominik Brettnacher <domi(at)saargate.de> wrote:
> > > Oliver Fromme wrote:
> > > > Nein, das ergibt »No route to host«, da lo0 mit der Ziel-
> > > > adresse nichts anfangen kann. Du müßtest für die Route
> > > > eine IP als Gateway definieren, für die es eine Route gibt,
> > > > aber die nicht reagiert.
> > >
> > > Also auf meinen FreeBSD-Installationen funktioniert es wie von mir
> > > beschrieben:
> > >
> > > # route add -host 85.12.11.221 -interface lo0
> > > add host 85.12.11.221: gateway lo0
> > > # telnet 85.12.11.221 22
> > > Trying 85.12.11.221...
> > > telnet: connect to address 85.12.11.221: Operation timed out
> > > telnet: Unable to connect to remote host
> >
> > Was ist bei Dir anders als bei mir?
> >
> > # route add -host 85.12.11.221 -interface lo0
> > add host 85.12.11.221: gateway lo0
> > # telnet 85.12.11.221 22
> > Trying 85.12.11.221...
> > telnet: connect to address 85.12.11.221: No route to host
> > telnet: Unable to connect to remote host
>
> Vielleicht liegt es an der Versionsnummer. Unter RELENG_6 bekomme
> ich auch den Timeout, die Route wird anstandslos akzeptiert:
>
> fk(at)TP51 ~ $netstat -rn | grep 85.12
> 85.12.11.221 lo0 UHS 0 9 lo0
>
> Ich nehme an Du hast unter 4.11 getestet?

Ja, genauer gesagt 4-stable. Ich hatte jetzt Gelegenheit,
es nochmal auf einem Rechner mit 6-stable zu testen, und
das Ergebnis war tatsächlich anders. Das kann allerdings
auch an den Paketfilter-Regeln gelegen haben: Auf dem er-
sten Rechner war ein umfangreiches Ruleset, das auch diver-
se Antispoofing- und sonstige Regeln für Localhost/Localnet
enthielt (TCP-Wrapper war auch konfiguriert, aber ich denke
nicht, daß das zu dem beschriebenen Symptomen führen kann).
Der zweite Rechner war hinter einer Firewall und hatte kei-
nerlei eigenen Paketfilter und auch keinen TCP-Wrapper.

Darüberhinaus habe ich eine Weile im CVS-Repo gesucht, aber
keinen Commit gefunden, der eine derartige Änderung im Ver-
halten bewirken würden. Meiner Meinung nach wäre das auch
eher ein Bug.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
Python is executable pseudocode.  Perl is executable line noise.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 22 Feb 2006 - 08:53:12 CET

search this site