[MASOCH-L] Regra frag no ipfw

Julio Arruda jarruda-gter at jarruda.com
Wed Nov 19 13:47:35 -03 2008


Eduardo Schoedler wrote:
> O estranho é que tanto o IP do cliente quanto a interface do router em 
> questão estão com MTU de 1500.
> Mesmo assim deveria fragmentar ?
> 
> Abraços,
> Eduardo.

Como o Danton comentou, fragmentos happen..:-)
Filtrar unicamente baseado em fragmentos, e' um pouco perigoso.
Uma coisa que voce nao descreve, e' o caminho fim a fim. Ate o ponto de 
origem pode fragmentar, a fragmentacao ocorrem em algum lugar, e 'em 
teoria', os fragmentos vao dai ate o final como fragmentos, onde o IP 
destino remonta. Quem mais esta no caminho ?

> --------------------------------------------------
> From: "Julio Arruda" <jarruda-gter at jarruda.com>
> Sent: Wednesday, November 19, 2008 11:29 AM
> To: "Mail Aid and Succor, On-line Comfort and Help" 
> <masoch-l at eng.registro.br>
> Subject: Re: [MASOCH-L] Regra frag no ipfw
> 
>> Danton Nunes wrote:
>>> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>>>
>>>> 00900 reset log tcp from any to any frag
>>>> 01000  unreach port log udp from any to any frag
>>>>
>>>> A regra para TCP não fez muita diferença, mas para UDP está 
>>>> bloqueando direto!
>>>
>>> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em 
>>> UDP quanto em TCP. você corre sério risco de bloquear tráfego 
>>> perfeitamente válido, mas que foi fragmentado 'en route'. Recomendo 
>>> fortemente não fazer isso!
>>
>> Na verdade, era realmente para ser bem menos comum (trafego valido com 
>> fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU 
>> Discovery esta ai para isto :-).
>>
>> O que tenho visto e' que tem muito ataque de fragmentos, e muito 
>> ataque de banda udp, que "vira" fragmento, em relacao a trafego normal 
>> udp fragmentado.
>>
>> Excecao que vi este ultimo ano, bem notavel..
>>
>> Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi 
>> migrado de um fabricante a outro, e passou a fazer fragmentacao direto 
>> entre dois 'end-points' do tunel.
>> Como eles monitoram a rede, comecou a aparecer anomalias de trafego 
>> fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a 
>> identificar o que mudou ;-) e ajustar os thresholds para este caso 
>> (eles nao quiseram alterar as MTUs para eliminar a fragmentacao, por 
>> questoes de "esta segurando, deixa para nao arriscar quebrar algo" 
>> durante as migracoes)
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l 
> 
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list