[MASOCH-L] Regra frag no ipfw
Julio Arruda
jarruda-gter at jarruda.com
Wed Nov 19 18:12:21 -03 2008
Eduardo Schoedler wrote:
> Olá Júlio.
>
> Para frente desse router (em direção à borda) tenho outro router
> (openbsd) e depois um Cisco 3660, com 8 interfaces seriais (E1)
> balanceadas por pacote.
>
> No Openbsd, tenho um regra no PF de scrub:
> scrub in all no-df random-id fragment reassemble
>
> Com isso ele não deveria remontar os pacotes ?
Por isto escrevi "em teoria", por causa destes malditos violadores da
decencia e bons costumes :-), e nao somente um firewall pode remontar,
como outros dispositivos (exemplo, mitigadores de ataques), que tem que
poder ter visao do 'pacote inteiro' (ou mesmo da stream TCP inteira,
outro caso, mas similar).
>
> E como o Renato Frederick disse: "Até o momento, não tive reclamações".
> Mas a minha curiosidade imperou... rsrsrs.
>
> Abraços,
> Eduardo.
>
>
> --------------------------------------------------
> From: "Julio Arruda" <jarruda-gter at jarruda.com>
> Sent: Wednesday, November 19, 2008 12:47 PM
> To: "Mail Aid and Succor, On-line Comfort and Help"
> <masoch-l at eng.registro.br>
> Subject: Re: [MASOCH-L] Regra frag no ipfw
>
>> Eduardo Schoedler wrote:
>>> O estranho é que tanto o IP do cliente quanto a interface do router
>>> em questão estão com MTU de 1500.
>>> Mesmo assim deveria fragmentar ?
>>>
>>> Abraços,
>>> Eduardo.
>>
>> Como o Danton comentou, fragmentos happen..:-)
>> Filtrar unicamente baseado em fragmentos, e' um pouco perigoso.
>> Uma coisa que voce nao descreve, e' o caminho fim a fim. Ate o ponto
>> de origem pode fragmentar, a fragmentacao ocorrem em algum lugar, e
>> 'em teoria', os fragmentos vao dai ate o final como fragmentos, onde o
>> IP destino remonta. Quem mais esta no caminho ?
>>
>>> --------------------------------------------------
>>> From: "Julio Arruda" <jarruda-gter at jarruda.com>
>>> Sent: Wednesday, November 19, 2008 11:29 AM
>>> To: "Mail Aid and Succor, On-line Comfort and Help"
>>> <masoch-l at eng.registro.br>
>>> Subject: Re: [MASOCH-L] Regra frag no ipfw
>>>
>>>> Danton Nunes wrote:
>>>>> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>>>>>
>>>>>> 00900 reset log tcp from any to any frag
>>>>>> 01000 unreach port log udp from any to any frag
>>>>>>
>>>>>> A regra para TCP não fez muita diferença, mas para UDP está
>>>>>> bloqueando direto!
>>>>>
>>>>> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em
>>>>> UDP quanto em TCP. você corre sério risco de bloquear tráfego
>>>>> perfeitamente válido, mas que foi fragmentado 'en route'. Recomendo
>>>>> fortemente não fazer isso!
>>>>
>>>> Na verdade, era realmente para ser bem menos comum (trafego valido
>>>> com fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU
>>>> Discovery esta ai para isto :-).
>>>>
>>>> O que tenho visto e' que tem muito ataque de fragmentos, e muito
>>>> ataque de banda udp, que "vira" fragmento, em relacao a trafego
>>>> normal udp fragmentado.
>>>>
>>>> Excecao que vi este ultimo ano, bem notavel..
>>>>
>>>> Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi
>>>> migrado de um fabricante a outro, e passou a fazer fragmentacao
>>>> direto entre dois 'end-points' do tunel.
>>>> Como eles monitoram a rede, comecou a aparecer anomalias de trafego
>>>> fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a
>>>> identificar o que mudou ;-) e ajustar os thresholds para este caso
>>>> (eles nao quiseram alterar as MTUs para eliminar a fragmentacao, por
>>>> questoes de "esta segurando, deixa para nao arriscar quebrar algo"
>>>> durante as migracoes)
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list