[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: Bridge con OpenBSD
Mittente: Thorin Oakenshield
Data: 4 Apr 2002 20:35:12 -0000
On Thu, Apr 04, 2002 at 10:49:02AM +0200, Fabio Pietrosanti (naif) wrote:
> Firewall in bridge con OpenBSD funzionano bene ( li usai in produzione con
> ipf per alcuni mesi ), mentre per quanto riguarda linux ti dico che lo
> utilizzo a casa, con una notevole quantita' di regole e di banda ( 3mbit/s di
> media ), e con una infrastruttura in cui ho:
Gia' che ci sei (innanzitutto un saluto al volo !), sul newsgroup
it.comp.sicurezza.varie si era parlato del come filtrare i pacchetti source
routed: io pensavo (evidentemente erroneamente) che bastassero le regole che
si trovano nelle FAQ per buttare via i tentativi di connessione da IP che
affermano di appartenere ad una classe di IP locale e provengono
dall'esterno cioe'

LocalNets="{ 127.0.0.1/8, 10.0.0.0/8, 172.16.0.0/16, 192.168.4.0/24 }"

block in quick on $ExtIf inet from $LocalNets to any
block in quick on $ExtIf inet from any to $LocalNets

cio' che mi era stato detto e' che si poteva fare (usando IPF, pero')

  block in log quick on $ExtIf all with opt lsrr
  block in log quick on $ExtIf all with opt ssrr

oppure (cito testualmente Fabio - che tanto dovrebbe leggermi anche qui,
credo)

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

Per bloccare questo traffico e' necessario droppare i pacchetti source
routed a livello di inoltro (ho scritto i metodi per il linux e ipf ma
ci sara' anche per pf) o bloccare in output sull'interfaccia interna i
pacchetti con sorgente esterna che appartengono a sessioni per cui non
esiste uno stato o, se il firewall non fa' stateful inspection, quelli
che hanno il flag syn a 1 (ma solo per tcp).

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

cioe' in soldoni? Si usa keep|modulate state? Oppure si gioca con flags? Ah,
ora che ho guardato nella man page di pf.conf ho visto questo:

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

     # block and log outgoing packets that don't have our address as source,
     # they are either spoofed or something is misconfigured (NAT disabled,
     # for instance), we want to be nice and don't send out garbage.
     block out log quick on $ext_if from ! 157.161.48.183 to any

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=> CLIP HERE < =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

cioe' butta via tutti i pacchetti che non arrivano da 157.161.48.183 ?

-- 
Pierluigi De Rosa (thorin@durin.khazad-dum.net).
<<      LINUX: the choice of a GNU generation     >>
<<   For my real address... ask the Balrog.       >>
* Sostenete la Lega per la Soppressione dei Troll *

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005