Re: Logging des ppp-internen filters

From: Udo Erdelhoff <ue(at)nathan.ruhr.de>
Date: Mon, 12 Jun 2000 13:44:16 +0200



Moin,


> Der Author dürfte sich vorgenommen haben, einen ppp zu bauen, der echt


> alles kann.



und wenn ich ganz ehrlich bin, dann stört mich das etwas. Denn das Ergebnis


dieser Einstellung ist ein ppp-Daemon, der riesengroß ist und zwar alles


etwas, aber nichts richtig kann. Zum Beispiel ist es echt toll, daß man


direkt im ppp einen Packet Filter hat. Der aber


- keine Ahnung von IPv6 hat


- nicht loggen kann


- keine state machine unterstützt


- keinen Bandbreitenlimitierung unterstützt


- das RST-Feature nicht unterstützt.



Der Autor wäre IMHO besser gefahren, wenn er statt des eigenen Filters


lieber eine Möglichkeit gefunden hätte, den ipfw im Kernel zu nutzen.


Die unter Unix übliche modulare Vorgehensweise halt.



Ergo sollte ich eigentlich statt des ppp lieber die Kombination pppd plus


natd plus ipfw benutzen. Allerdings rottet der pppd vor sich hin und er


kann auch kein PPPoE. Und da ich neuerdings ADSL habe, ist das doch 


recht wichtig.



> Das anti-spoofing mache ich aber (zugebenermaßen primitiv) so, daß


> ich alle pakete von rfc1918 Adressen nicht reinlasse.


Das ist kein anti-spoofing, jedenfalls nach meiner Defintion. Das man keine


Pakete mit einer Adresse aus den rfc1918-Netzen von außen reinläßt, ist


reiner Selbstschutz. Das man keine Pakete mit einer Adresse aus den


rfc1918-Netzen nach draußen läßt, sollte auch selbstverständlich sein.


Keep your country^wnetwork tidy. Ein RFC geht AFAIR noch weiter: Ein ISP


sollte seine Paketfilter so konfigurieren, daß seine Kunden nur Pakete


schicken können, die eine source adress aus dem Netzbereich des jeweiligen


Kunden haben. 



Wobei ich ehrlich zugebe, daß ich zur Zeit auch nur sehr halbherzig


eingebaut habe bzw. einbauen kann - der filter greift bei eingehenden


Paketen nach dem NAT und ich verwende intern 192.168.1.0/24 :( Womit


ich wieder bei meinem Argument von oben wäre - ich fände es deutlich


besser, wenn ich den Filter für ausgehende Pakete nach dem NAT und den


Filter für eigehende Pakete vor dem NAT schalten könnte. Dann käme da


jeweils ein Satz denies für source oder destination in den rfc1918-Netzen


rein und ich hätte Ruhe auf der Leitung.



Anti-Spoofing ist nach meiner Definition, daß man keine Pakete, die von


einem selbst (bzw. vom eigenen Netz) kommen sollen, von außen in das System


läßt. Wenn hinter dem eigenen System noch weitere Netze hängen und die


nur über das System rauskommen, gilt das natürlich auch für Pakete mit


deren Adresse als source.



Und nein, das ist keine Paranoia, das ist leider notwendig. Es gibt zu


viele Idioten und Script-Kiddies da draußen.



/s/Udo



-- 
Schnell und schluepfrig wie geoeltes Ferkel auf Crack
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 12 Jun 2000 - 13:52:44 CEST













search this site