[GTER] Campanha Técnica IP-Spoofing

[Douglas Fischer]

​Opa, acho que está havendo uma confusão de conceitos...

RP-Filter não é statefull firewall.
Não necessariamente a conexão precisa ter saído por aquela interface.
É só um lookup na tabela para ver se existe rota para aquela interface
apontando para alguma coisa que bata com a origem do pacote.

A rota default pode ou não cobrir o RP-Filter lookup, depende da
implementação.



Em 31 de janeiro de 2018 21:42, Danton Nunes <danton.nunes at inexo.com.br>
escreveu:

> On Wed, 31 Jan 2018, Leandro Bertholdo wrote:
>
> * Se estiver na duvida, esquece RPF e colocar as ACLs simplezinhas nas
>> tuas interfaces com teus provedores/PTT, permitindo sair somente teus
>> blocos IPv4/v6 que já esta ajudando bastante!
>>
>
> Bingo! na maior parte dos casos vão ser poucos prefixos na rede interna e
> dos clientes, então filtrozinhos simples resolvem muito bem. Se houver
> muitos prefixos, sessões BGP com vários parceiros, upstreams, e clientes,
> aí a coisa muda de figura, pois você não sabe a priori quais são os blocos
> a permitir.
>
>
> -- Danton
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação