Re: Logging des ppp-internen filters

From: Udo Erdelhoff <ue(at)nathan.ruhr.de>
Date: Mon, 12 Jun 2000 13:44:16 +0200

Moin,
> Der Author dürfte sich vorgenommen haben, einen ppp zu bauen, der echt
> alles kann.

und wenn ich ganz ehrlich bin, dann stört mich das etwas. Denn das Ergebnis
dieser Einstellung ist ein ppp-Daemon, der riesengroß ist und zwar alles
etwas, aber nichts richtig kann. Zum Beispiel ist es echt toll, daß man
direkt im ppp einen Packet Filter hat. Der aber
- keine Ahnung von IPv6 hat
- nicht loggen kann
- keine state machine unterstützt
- keinen Bandbreitenlimitierung unterstützt
- das RST-Feature nicht unterstützt.

Der Autor wäre IMHO besser gefahren, wenn er statt des eigenen Filters
lieber eine Möglichkeit gefunden hätte, den ipfw im Kernel zu nutzen.
Die unter Unix übliche modulare Vorgehensweise halt.

Ergo sollte ich eigentlich statt des ppp lieber die Kombination pppd plus
natd plus ipfw benutzen. Allerdings rottet der pppd vor sich hin und er
kann auch kein PPPoE. Und da ich neuerdings ADSL habe, ist das doch
recht wichtig.

> Das anti-spoofing mache ich aber (zugebenermaßen primitiv) so, daß
> ich alle pakete von rfc1918 Adressen nicht reinlasse.
Das ist kein anti-spoofing, jedenfalls nach meiner Defintion. Das man keine
Pakete mit einer Adresse aus den rfc1918-Netzen von außen reinläßt, ist
reiner Selbstschutz. Das man keine Pakete mit einer Adresse aus den
rfc1918-Netzen nach draußen läßt, sollte auch selbstverständlich sein.
Keep your country^wnetwork tidy. Ein RFC geht AFAIR noch weiter: Ein ISP
sollte seine Paketfilter so konfigurieren, daß seine Kunden nur Pakete
schicken können, die eine source adress aus dem Netzbereich des jeweiligen
Kunden haben.

Wobei ich ehrlich zugebe, daß ich zur Zeit auch nur sehr halbherzig
eingebaut habe bzw. einbauen kann - der filter greift bei eingehenden
Paketen nach dem NAT und ich verwende intern 192.168.1.0/24 :( Womit
ich wieder bei meinem Argument von oben wäre - ich fände es deutlich
besser, wenn ich den Filter für ausgehende Pakete nach dem NAT und den
Filter für eigehende Pakete vor dem NAT schalten könnte. Dann käme da
jeweils ein Satz denies für source oder destination in den rfc1918-Netzen
rein und ich hätte Ruhe auf der Leitung.

Anti-Spoofing ist nach meiner Definition, daß man keine Pakete, die von
einem selbst (bzw. vom eigenen Netz) kommen sollen, von außen in das System
läßt. Wenn hinter dem eigenen System noch weitere Netze hängen und die
nur über das System rauskommen, gilt das natürlich auch für Pakete mit
deren Adresse als source.

Und nein, das ist keine Paranoia, das ist leider notwendig. Es gibt zu
viele Idioten und Script-Kiddies da draußen.

/s/Udo

-- 
Schnell und schluepfrig wie geoeltes Ferkel auf Crack
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 12 Jun 2000 - 13:52:44 CEST

search this site