[MASOCH-L] Regra frag no ipfw

Julio Arruda jarruda-gter at jarruda.com
Wed Nov 19 12:29:13 -03 2008


Danton Nunes wrote:
> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
> 
>> 00900 reset log tcp from any to any frag
>> 01000  unreach port log udp from any to any frag
>>
>> A regra para TCP não fez muita diferença, mas para UDP está bloqueando 
>> direto!
> 
> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em UDP 
> quanto em TCP. você corre sério risco de bloquear tráfego perfeitamente 
> válido, mas que foi fragmentado 'en route'. Recomendo fortemente não 
> fazer isso!

Na verdade, era realmente para ser bem menos comum (trafego valido com 
fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU Discovery 
esta ai para isto :-).

O que tenho visto e' que tem muito ataque de fragmentos, e muito ataque 
de banda udp, que "vira" fragmento, em relacao a trafego normal udp 
fragmentado.

Excecao que vi este ultimo ano, bem notavel..

Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi 
migrado de um fabricante a outro, e passou a fazer fragmentacao direto 
entre dois 'end-points' do tunel.
Como eles monitoram a rede, comecou a aparecer anomalias de trafego 
fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a 
identificar o que mudou ;-) e ajustar os thresholds para este caso (eles 
  nao quiseram alterar as MTUs para eliminar a fragmentacao, por 
questoes de "esta segurando, deixa para nao arriscar quebrar algo" 
durante as migracoes)



More information about the masoch-l mailing list