[MASOCH-L] Regra frag no ipfw
Eduardo Schoedler
eschoedler at viavale.com.br
Wed Nov 19 18:44:56 BRST 2008
Olá Júlio.
Para frente desse router (em direção à borda) tenho outro router (openbsd) e
depois um Cisco 3660, com 8 interfaces seriais (E1) balanceadas por pacote.
No Openbsd, tenho um regra no PF de scrub:
scrub in all no-df random-id fragment reassemble
Com isso ele não deveria remontar os pacotes ?
E como o Renato Frederick disse: "Até o momento, não tive reclamações".
Mas a minha curiosidade imperou... rsrsrs.
Abraços,
Eduardo.
--------------------------------------------------
From: "Julio Arruda" <jarruda-gter at jarruda.com>
Sent: Wednesday, November 19, 2008 12:47 PM
To: "Mail Aid and Succor, On-line Comfort and Help"
<masoch-l at eng.registro.br>
Subject: Re: [MASOCH-L] Regra frag no ipfw
> Eduardo Schoedler wrote:
>> O estranho é que tanto o IP do cliente quanto a interface do router em
>> questão estão com MTU de 1500.
>> Mesmo assim deveria fragmentar ?
>>
>> Abraços,
>> Eduardo.
>
> Como o Danton comentou, fragmentos happen..:-)
> Filtrar unicamente baseado em fragmentos, e' um pouco perigoso.
> Uma coisa que voce nao descreve, e' o caminho fim a fim. Ate o ponto de
> origem pode fragmentar, a fragmentacao ocorrem em algum lugar, e 'em
> teoria', os fragmentos vao dai ate o final como fragmentos, onde o IP
> destino remonta. Quem mais esta no caminho ?
>
>> --------------------------------------------------
>> From: "Julio Arruda" <jarruda-gter at jarruda.com>
>> Sent: Wednesday, November 19, 2008 11:29 AM
>> To: "Mail Aid and Succor, On-line Comfort and Help"
>> <masoch-l at eng.registro.br>
>> Subject: Re: [MASOCH-L] Regra frag no ipfw
>>
>>> Danton Nunes wrote:
>>>> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>>>>
>>>>> 00900 reset log tcp from any to any frag
>>>>> 01000 unreach port log udp from any to any frag
>>>>>
>>>>> A regra para TCP não fez muita diferença, mas para UDP está bloqueando
>>>>> direto!
>>>>
>>>> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em UDP
>>>> quanto em TCP. você corre sério risco de bloquear tráfego perfeitamente
>>>> válido, mas que foi fragmentado 'en route'. Recomendo fortemente não
>>>> fazer isso!
>>>
>>> Na verdade, era realmente para ser bem menos comum (trafego valido com
>>> fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU Discovery
>>> esta ai para isto :-).
>>>
>>> O que tenho visto e' que tem muito ataque de fragmentos, e muito ataque
>>> de banda udp, que "vira" fragmento, em relacao a trafego normal udp
>>> fragmentado.
>>>
>>> Excecao que vi este ultimo ano, bem notavel..
>>>
>>> Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi
>>> migrado de um fabricante a outro, e passou a fazer fragmentacao direto
>>> entre dois 'end-points' do tunel.
>>> Como eles monitoram a rede, comecou a aparecer anomalias de trafego
>>> fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a
>>> identificar o que mudou ;-) e ajustar os thresholds para este caso (eles
>>> nao quiseram alterar as MTUs para eliminar a fragmentacao, por questoes
>>> de "esta segurando, deixa para nao arriscar quebrar algo" durante as
>>> migracoes)
More information about the masoch-l
mailing list