[GTER] Permitindo roteamento assimétrico.
Danton Nunes
danton.nunes at inexo.com.br
Mon Nov 30 11:10:09 -02 2015
On Mon, 30 Nov 2015, Luiz Otavio O Souza wrote:
> Kalil,
>
> O roteamento assimétrico é padrão no FreeBSD, você não tem que habilitar nada.
ainda bem!
> O spoofing normalmente é tratado no firewall, então se você não
> adicionar nenhuma regra para bloquear endereços spoofados na rede ele
> esta desabilitado :)
correto. você tem que fazer filtragem de ingresso nas interfaces internas,
não nas que vão para os provedores de trânsito. a filtragem de ingresso
consiste em só permitir que entre no roteador (daí o nome ingresso) os
pacotes que tem endereço de origem casando com alguma rota para aquela
interface.
essa estratégia não deve ser aplicada às interfaces de trânsito porque
geralmente elas tem milhares de rotas, muitas das quais sobrepostas, o que
torna muito pouco prático consultar a tabela a cada pacote, ou mesmo a
cada fluxo.
já nas interfaces locais (imagino que seu roteador ligue uma rede local à
internet) o número de rotas é pequeno, muitas vezes se resume a uma só, de
modo que criar um filtro de ingresso é trivial.
além disso, quanto mais próximo do usuário final, mais efetiva vai ser a
filtragem de ingresso.
saiba mais sobre filtragem de ingresso lendo a BCP-38, atualmente
RFC-2827. pessoalmente acho que a BCP-38 deveria ser o décimo primeiro
mandamento. ;)
More information about the gter
mailing list