R: Ipsec on RH 7.2

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: R: Ipsec on RH 7.2
Mittente: Luigi Iotti
Data: 24 Sep 2002 19:14:41 -0000

Quando rp_filter è impostato a 1 viene effettuato un controllo sui pacchetti
in arrivo: viene preso l'indirizzo sorgente del pacchetto; viene fatto un
lookup sulla routing table per stabilire su quale interfaccia dovrebbe
uscire un ipotetico pacchetto che avesse com DESTINAZIONE tale indirizzo (in
pratica, viene stabilito quale interfaccia 'punta' verso la rete sorgente);
si confronta questa interfaccia con quella su cui il pacchetto è arrivato
effettivamente. Se sono diverse, il pacchetto viene scartato, in quanto
presumibilmente si tratta di IP Spoofing.
Mettendolo a 0 impedisci questo controllo.

Un controllo simile puoi effettuarlo anche con regole iptables, in modo da
escludere dal controllo la particolare rete che ti ha indotto a impostare a
0 l'rp_filter.

HTH

Luigi

> -----Messaggio originale-----
> Da: Gelpi Andrea - Liste [mailto:liste@gelpi.it]
> Inviato: lunedì 23 settembre 2002 22.09
> A: Sikurezza ML
> Oggetto: Ipsec on RH 7.2
>
>
> Salve,
> 	sto provando gli rpm forniti da freeswan (www.freeswan.org)
> per attivare un
> tunnel ipsec fra due lan.
> Sulla RH 7.1 tutto è Ok.
> Sulla RH 7.2 e 7.3 dopo l'installazione degli rpm quando faccio partire i
> servizi escono le seguenti 2 righe:
>
> ipsec_setup: WARNING: eth1 has route filtering turned on, KLIPS
> may not work
> ipsec_setup:  (/proc/sys/net/ipv4/conf/eth1/rp_filter = `1', should be 0)
>
> Dopo una breve ricerca ho trovato scritto che per motivi di sicurezza è
> meglio lasciare ad uno tale valore.
>
> Che cosa rischio a metterlo a 0?
>
> Grazie,
> --
> Gelpi ing. Andrea
> --------------------------------------------------------------
> It took the computing power of three C-64s to fly to the Moon.
> It takes a 486 to run Windows 95. Something is wrong here.
> --------------------------------------------------------------
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- R: Ipsec on RH 7.2, Gelpi Andrea - Liste

In risposta a:
- Ipsec on RH 7.2, Gelpi Andrea - Liste

Data:
- precedente: Re: SATA HTS, koba
- successivo: Re: Ipsec on RH 7.2, Dido
- indice

Argomento:
- precedente: Ipsec on RH 7.2, Gelpi Andrea - Liste
- successivo: R: Ipsec on RH 7.2, Gelpi Andrea - Liste
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005