[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Novembre 2006 ml@sikurezza.org Soggetto: Re: [ml] firewall iptables Mittente: Claudio Broglia Data: Mon, 13 Nov 2006 20:43:22 +0100 (CET)
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 > Claudio, potresti anche spiegarmi perch?? il comportamento di default ?? > questo? Insomma, c'?? un motivo? Guarda, penso sia così perchè i bravi kernel developers han deciso che è così. Ho provato a cercare negli archivi della LKML e dicono che è il comportamento di default, ma non ho trovato motivazioni al riguardo. Ad esempio: http://www.gossamer-threads.com/lists/linux/kernel/609040 > Questo comportamento pu?? causare un po' di problemi di sicurezza... Lo credo anche io. La prima cosa che mi viene in mente è l'enumerazione di reti a 1 hop di distanza, generando richieste arp. > Per lo meno per chi non configura bene le regole di firewalling. Più che un problema di firewall penso sia un problema di configurazione del SO. Che regola di firewall metti per bloccare una richiesta ARP che chiede il tuo indirizzo? Ok, l'indirizzo richiesto non è quello dell'interfaccia su cui ricevi il pacchetto ARP, ma parlando di iptables non mi viene in mente un modo per bloccare una richiesta di questo tipo. Al contrario abbiamo una comodissima entry in proc gestibile tramite sysctl, non sfruttarla mi sembra un peccato :) > Credo sarebbe pi?? opportuno lasciare, coscientemente, il comportamento > di default per le arp ed impostare meglio le regole di firewalling, > esplicitando le interfacce/indirizzi interessate/i. Vedi sopra. > iptables -t filter -A FORWARD -i $LAN_IF -o $GW_IF -s $LAN_NET \ > -m state --state NEW,ESTABLISHED -j ACCEPT Con questa regola non filtri le richieste ARP oggetto di nostra attenzione, dato che sono sotto il livello IP e che inoltre non necessitano di routing. In pratica, al GW arriverebbe la richiesta ARP, che verrebbe onorata, ed in seguito arriverebbero i pacchetti del client che matchano tale regola. Comunque potrebbe essere che il problema di loris è un'altro. Loris, se ci sei batti un colpo ;) Ciao xeon -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (MingW32) iD8DBQFFWMq9dPj0aKBXx10RAmFVAJ4geW9xNaNL7ALvlmKR2pbAtMjPjwCgv4if qA2v9B9iZwShwNdgNJru78U= =HELP -----END PGP SIGNATURE-----
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005