[MASOCH-L] Regra frag no ipfw
Julio Arruda
jarruda-gter at jarruda.com
Wed Nov 19 12:29:13 -03 2008
Danton Nunes wrote:
> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>
>> 00900 reset log tcp from any to any frag
>> 01000 unreach port log udp from any to any frag
>>
>> A regra para TCP não fez muita diferença, mas para UDP está bloqueando
>> direto!
>
> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em UDP
> quanto em TCP. você corre sério risco de bloquear tráfego perfeitamente
> válido, mas que foi fragmentado 'en route'. Recomendo fortemente não
> fazer isso!
Na verdade, era realmente para ser bem menos comum (trafego valido com
fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU Discovery
esta ai para isto :-).
O que tenho visto e' que tem muito ataque de fragmentos, e muito ataque
de banda udp, que "vira" fragmento, em relacao a trafego normal udp
fragmentado.
Excecao que vi este ultimo ano, bem notavel..
Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi
migrado de um fabricante a outro, e passou a fazer fragmentacao direto
entre dois 'end-points' do tunel.
Como eles monitoram a rede, comecou a aparecer anomalias de trafego
fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a
identificar o que mudou ;-) e ajustar os thresholds para este caso (eles
nao quiseram alterar as MTUs para eliminar a fragmentacao, por
questoes de "esta segurando, deixa para nao arriscar quebrar algo"
durante as migracoes)
More information about the masoch-l
mailing list