Re: IP-Spoofing unter FreeBSD

From: Bernd Walter <ticso(at)cicely9.cicely.de>
Date: Mon, 24 Mar 2003 21:51:20 +0100

On Mon, Mar 24, 2003 at 09:23:29PM +0100, Patrick Hess wrote:
> Hallo,
>
> Harold Gutch schrieb:
> > On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> > > Erkennt die IPFW, wenn ?ber das tun0-Device von au?en eine IP-
> > > Adresse herein kommen will, die einem privaten Netz geh?rt, welche
> > > also nicht ?bers Internet geroutet werden sollte und blockt diese
> > > dann entsprechend ab?
> >
> > Ich versteh die Frage jetzt irgendwie nicht ganz. ipfw macht
> > genau das was du ihm sagst, also wenn du ihm sagst "wirf diese
> > Pakete weg", dann macht es das - wenn du es ihm nicht sagst, dann
> > macht es das natuerlich nicht, warum auch.
>
> Jo, ich dachte, IPFW würde eine gewisse "Eigeninitiative"
> mitbringen. Ergo müßte ich demnach eine Regel nach dem Schema

Das wäre doof, da man ja dann keinen Dial-In in ein Intra Netz
bewerkstelligen könnte.
Außerdem: woher sollte IPFW wissen welche Interface extern ist?

Mal abgesehen davon gibt es haufenweise Netze, die im Internet nicht
geroutet werden:

Derzeit Reservierte
 1.0.0.0/8
 2.0.0.0/8
 5.0.0.0/8
 70.0.0.0/7
 72.0.0.0/5
 82.0.0.0/7
 84.0.0.0/6
 88.0.0.0/5
 96.0.0.0/4
 112.0.0.0/5
 120.0.0.0/6
 124.0.0.0/7
 126.0.0.0/8
 222.0.0.0/7

Intra
 192.168.0.0/16
 172.16.0.0/12
 10.0.0.0/8

Loopback
 127.0.0.0/8
                                                                                   
Link Local
 169.254.0.0/16

Sondernutzung
 U.S. Army Yuma Proving Ground: (will not be routed)
 6.0.0.0/8
 Defense Information Systems Agency: (will not be routed)
 7.0.0.0/8
 Defense Intelligence Agency: (will not be routed)
 11.0.0.0/8

Die Liste läßt sich noch problemlos weiterführen.

> deny ip from $PrivateIP to any via tun0
>
> für alle privaten IPs, die nicht über das tun0-Device gehen dürfen,
> basteln. Mal sehen, wie ich der IPFW IP-Bereiche beibringe.

Mehrere Regeln mit Masken oder bei IPFW2 mittels oder Verknüpfung.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 24 Mar 2003 - 21:51:44 CET

search this site