[MASOCH-L] Regra frag no ipfw

[Eduardo Schoedler]

Justamente por serem "violadores da decência e bons costumes" que vou manter 
a regra no ipfw bloqueado esse tráfego rsrsrs.

Abraços!
Eduardo.


--------------------------------------------------
From: "Julio Arruda" <jarruda-gter at jarruda.com>
Sent: Wednesday, November 19, 2008 5:12 PM
To: "Mail Aid and Succor, On-line Comfort and Help" 
<masoch-l at eng.registro.br>
Subject: Re: [MASOCH-L] Regra frag no ipfw

> Eduardo Schoedler wrote:
>> Olá Júlio.
>>
>> Para frente desse router (em direção à borda) tenho outro router 
>> (openbsd) e depois um Cisco 3660, com 8 interfaces seriais (E1) 
>> balanceadas por pacote.
>>
>> No Openbsd, tenho um regra no PF de scrub:
>>   scrub in all no-df random-id fragment reassemble
>>
>> Com isso ele não deveria remontar os pacotes ?
>
> Por isto escrevi "em teoria", por causa destes malditos violadores da 
> decencia e bons costumes :-), e nao somente um firewall pode remontar, 
> como outros dispositivos (exemplo, mitigadores de ataques), que tem que 
> poder ter visao do 'pacote inteiro' (ou mesmo da stream TCP inteira, outro 
> caso, mas similar).
>
>>
>> E como o Renato Frederick disse: "Até o momento, não tive reclamações".
>> Mas a minha curiosidade imperou... rsrsrs.
>>
>> Abraços,
>> Eduardo.
>>
>>
>> --------------------------------------------------
>> From: "Julio Arruda" <jarruda-gter at jarruda.com>
>> Sent: Wednesday, November 19, 2008 12:47 PM
>> To: "Mail Aid and Succor, On-line Comfort and Help" 
>> <masoch-l at eng.registro.br>
>> Subject: Re: [MASOCH-L] Regra frag no ipfw
>>
>>> Eduardo Schoedler wrote:
>>>> O estranho é que tanto o IP do cliente quanto a interface do router em 
>>>> questão estão com MTU de 1500.
>>>> Mesmo assim deveria fragmentar ?
>>>>
>>>> Abraços,
>>>> Eduardo.
>>>
>>> Como o Danton comentou, fragmentos happen..:-)
>>> Filtrar unicamente baseado em fragmentos, e' um pouco perigoso.
>>> Uma coisa que voce nao descreve, e' o caminho fim a fim. Ate o ponto de 
>>> origem pode fragmentar, a fragmentacao ocorrem em algum lugar, e 'em 
>>> teoria', os fragmentos vao dai ate o final como fragmentos, onde o IP 
>>> destino remonta. Quem mais esta no caminho ?
>>>
>>>> --------------------------------------------------
>>>> From: "Julio Arruda" <jarruda-gter at jarruda.com>
>>>> Sent: Wednesday, November 19, 2008 11:29 AM
>>>> To: "Mail Aid and Succor, On-line Comfort and Help" 
>>>> <masoch-l at eng.registro.br>
>>>> Subject: Re: [MASOCH-L] Regra frag no ipfw
>>>>
>>>>> Danton Nunes wrote:
>>>>>> On Wed, 19 Nov 2008, Eduardo Schoedler wrote:
>>>>>>
>>>>>>> 00900 reset log tcp from any to any frag
>>>>>>> 01000  unreach port log udp from any to any frag
>>>>>>>
>>>>>>> A regra para TCP não fez muita diferença, mas para UDP está 
>>>>>>> bloqueando direto!
>>>>>>
>>>>>> cuidado com bloqueio de fragmentação. costuma dar besteira tanto em 
>>>>>> UDP quanto em TCP. você corre sério risco de bloquear tráfego 
>>>>>> perfeitamente válido, mas que foi fragmentado 'en route'. Recomendo 
>>>>>> fortemente não fazer isso!
>>>>>
>>>>> Na verdade, era realmente para ser bem menos comum (trafego valido com 
>>>>> fragmentacao) em TCP do que em UDP, ja que 'em teoria' o PMTU 
>>>>> Discovery esta ai para isto :-).
>>>>>
>>>>> O que tenho visto e' que tem muito ataque de fragmentos, e muito 
>>>>> ataque de banda udp, que "vira" fragmento, em relacao a trafego normal 
>>>>> udp fragmentado.
>>>>>
>>>>> Excecao que vi este ultimo ano, bem notavel..
>>>>>
>>>>> Cliente que tinha tuneis L2TP, em que o LAC/LNS (um dos dois) foi 
>>>>> migrado de um fabricante a outro, e passou a fazer fragmentacao direto 
>>>>> entre dois 'end-points' do tunel.
>>>>> Como eles monitoram a rede, comecou a aparecer anomalias de trafego 
>>>>> fragmentado razoaveis (e bem constantes :-), e eu ajudei eles a 
>>>>> identificar o que mudou ;-) e ajustar os thresholds para este caso 
>>>>> (eles nao quiseram alterar as MTUs para eliminar a fragmentacao, por 
>>>>> questoes de "esta segurando, deixa para nao arriscar quebrar algo" 
>>>>> durante as migracoes)