[sisyphus] мистика.

Peter V. Saveliev =?iso-8859-1?q?peet_=CE=C1_eltel=2Enet?=
Сб Окт 11 15:53:04 MSD 2003 

...

В общем, бред таков:

[root на backup01 root]# iptables -L -n -v
Chain INPUT (policy ACCEPT 5279 packets, 660K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       192.168.111.2        255.255.255.255    

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4573 packets, 629K bytes)
 pkts bytes target     prot opt in     out     source               destination         

[root на backup01 root]# iptables -L -n -v -t mangle
Chain PREROUTING (policy ACCEPT 5239 packets, 659K bytes)
 pkts bytes target     prot opt in     out     source               destination         
   16  5248 DROP       all  --  *      *       192.168.111.2        0.0.0.0/0          

Chain INPUT (policy ACCEPT 5239 packets, 659K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 4565 packets, 628K bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 4565 packets, 628K bytes)
 pkts bytes target     prot opt in     out     source               destination

[root на backup01 root]# tail -2 /var/log/messages
Oct 11 15:40:18 backup01 dhcpd: DHCPINFORM from 192.168.111.2 via eth0: unknown subnet 0.0.0.0
Oct 11 15:40:42 backup01 last message repeated 3 times

Напомню первую серию: фильтр в INPUT, как оказалось, не мешает dhcpd
гадить в сислог. Не это плохо. Плохо то, что dhcpd ловит те пакеты,
которые должны быть дропнуты.

Что было дальше: решение, что PREROUTING обрабатывает пакеты раньше, чем
INPUT, показалось мудрым, и я воткнул DROP в PREROUTING. Не помогло :)

А было и такое:

[root на backup01 root]# ip rule list
0:	from all lookup local 
32765:	from 192.168.111.2 lookup dead 
32766:	from all lookup main 
32767:	from all lookup default 

[root на backup01 root]# ip route list table dead
blackhole default 

Что тоже, как понятно, не помешало dhcpd обработать пакет, который никто
не должен был обработать.


Что я не понимаю? Почему приложение обрабатывает пакет раньше, чем
netfilter? чем iproute? Уже целую неделю чувствую себя дурным и сон мой
тревожен.

-- 
 15:42:50  up 30 days,  2:59,  4 users,  load average: 0.75, 0.69, 0.90

++
Sincerely, Peter V. Saveliev

E-mail: peet на eltel.net
Jabber: peet на jabber.ru

Подробная информация о списке рассылки Sisyphus