On 02/08/16 12:07, Vilem Kebrt wrote:
A to je koren veci - jak zaridit, aby vsechny lokalni programy
pouzivaly pri svych operacich vyhradne vnitrni IP adresu.
ifconfig create lo1 inet <our_public_ip> mask 255.255.255.255
To je vskutku velmi odvazna myslenka - nahodit tu "vnejsi" adresu na
loopback a ten skutecny vnejsi interface nechat 'up' bez adresy. A
doufat, ze system si p[ak "defautne" bude pro odchozi spojeno vybirat
nejakou nam milejsi adresu (coz by se skutecne mohlo stat).
Teda, na kritickem centralnim routeru bych do toho asi nesel, tohle je
natolik velka odchykla od "bezne konfigurace", ze se nedaji dobre
odhadnout vsechny vedlejsi dopady, ktery by to melo (a hrozily by znovu
a znovu pri kazdem upgrade systemu i routovaciho daemona) - a toho bych
se na tak dulezitym stroji bal.
Ale jako hypoteticky reseni to vypada ukrutne zajimave.
Hned v uvodu by se ale musely vyresit "drobnosti" - aby ten interface
bez adresy vubec fungoval, je treba zajistit aby protistrane odpovidal
na arp dotazy. To by, mozna, mohl zaridit 'pub' flag arp prikazu.
Dal je tady skupina problem okolo toho, ze ten vystupni interface nebude
mit zadnou IP adresu. Idea unnumbered interface neni operacnimu systemu
cizi, ale standardne se s tim pocita pouze na P2P interfacech. Je
otazka, jaky vsecny nakolik se k tomu necha presvedcit u interface,
ktere P2P neni.
Jde zejmena o otazku jestli pujde do routovaci tabulky narvat default
route skrz takovy interface, ktery nema adresu. A ted se v uvahach
neomezuju na to, co dokazou nakonfigurovat standardni systemove utility
- spis na to, co v routovaci tabulce zkousne samo jadro.
Pak je tu neprijemna otazka, jestli by s takovym interfacem byl ochoten
pracovat routovaci daemon. I zde by s odkazem na unnumbered P2P bylo
mozne doufat, ale jestli by to slo v praxi na ne-P2P rozhrani se da
zjistit jen praktickym pokusem s tim konkretnim routovacim daemonem
(navic v konkretni verzi).
Kdyz se podari prekonat vsechny tyhle "drobnosti" zbyva kardinalni
otazka - jakou zdrojovou IP adresu system zvoli pro navazovane TCP
spojeni, ktere bude odchazet pres interface bez adresy ? Nejakou urcite
ano - unnumbered interface jsou v systemu legitimni, takze tahle otazka
musi mit odpoved. Ale nemusi tou odpovedi byt ta adresa, ktera by se nam
libila ...
No, rozhodne jde o skutecne velmi kreativni napad. Takhle daleko jsem se
v uvahach vubec neodvazil zajit. Daleko snazsi bylo presvedcovat Zbynka,
ze vnejsi dosazitelnost vlastne skoro nepotrebuje ... ;-)
Sakra, uz nejak pohodlnim ...
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
