[GTER] Permitindo roteamento assimétrico.

Danton Nunes danton.nunes at inexo.com.br
Mon Nov 30 11:10:09 -02 2015


On Mon, 30 Nov 2015, Luiz Otavio O Souza wrote:

> Kalil,
>
> O roteamento assimétrico é padrão no FreeBSD, você não tem que habilitar nada.

ainda bem!

> O spoofing normalmente é tratado no firewall, então se você não
> adicionar nenhuma regra para bloquear endereços spoofados na rede ele
> esta desabilitado :)

correto. você tem que fazer filtragem de ingresso nas interfaces internas, 
não nas que vão para os provedores de trânsito. a filtragem de ingresso 
consiste em só permitir que entre no roteador (daí o nome ingresso) os 
pacotes que tem endereço de origem casando com alguma rota para aquela 
interface.

essa estratégia não deve ser aplicada às interfaces de trânsito porque 
geralmente elas tem milhares de rotas, muitas das quais sobrepostas, o que 
torna muito pouco prático consultar a tabela a cada pacote, ou mesmo a 
cada fluxo.

já nas interfaces locais (imagino que seu roteador ligue uma rede local à 
internet) o número de rotas é pequeno, muitas vezes se resume a uma só, de 
modo que criar um filtro de ingresso é trivial.

além disso, quanto mais próximo do usuário final, mais efetiva vai ser a 
filtragem de ingresso.

saiba mais sobre filtragem de ingresso lendo a BCP-38, atualmente 
RFC-2827. pessoalmente acho que a BCP-38 deveria ser o décimo primeiro 
mandamento. ;)




More information about the gter mailing list