Re: IP-Spoofing unter FreeBSD

From: Harold Gutch <logix(at)foobar.franken.de>
Date: Mon, 24 Mar 2003 21:51:44 +0100

On Mon, Mar 24, 2003 at 09:23:29PM +0100, Patrick Hess wrote:
> Hallo,
>
> Harold Gutch schrieb:
> > On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> > > Erkennt die IPFW, wenn ?ber das tun0-Device von au?en eine IP-
> > > Adresse herein kommen will, die einem privaten Netz geh?rt, welche
> > > also nicht ?bers Internet geroutet werden sollte und blockt diese
> > > dann entsprechend ab?
> >
> > Ich versteh die Frage jetzt irgendwie nicht ganz. ipfw macht
> > genau das was du ihm sagst, also wenn du ihm sagst "wirf diese
> > Pakete weg", dann macht es das - wenn du es ihm nicht sagst, dann
> > macht es das natuerlich nicht, warum auch.
>
> Jo, ich dachte, IPFW w?rde eine gewisse "Eigeninitiative"
> mitbringen. Ergo m??te ich demnach eine Regel nach dem Schema

Achso, das meintest du. Nein, ipfw macht nichts dergleichen.
Ich denke mal auch es ist nicht ganz trivial so etwas wirklich
korrekt zu implementieren, also so dass nicht zu viel gesperrt
wird. Gerade die Sachen die nicht ganz "Standard" sind, koennten
da Probleme bereiten, z.B. wenn man Proxy ARP macht oder wenn man
zwischen zwei Interfaces bridget.

> deny ip from $PrivateIP to any via tun0
>
> f?r alle privaten IPs, die nicht ?ber das tun0-Device gehen d?rfen,
> basteln. Mal sehen, wie ich der IPFW IP-Bereiche beibringe.

ipfw kann auch mit Netzmasken umgehen. Du wirst also etwas a la

  deny ip from 192.168.0.0/24 to any recv tun0

oder gleich

  deny ip from 10.0.0.0/8 to any recv tun0
  deny ip from 172.16.0.0/24 to any recv tun0
  deny ip from 192.168.0.0/16 to any recv tun0

fuer alle 3 in RFC 1918 definierten "privaten" IP-Bereiche
wollen. "recv" daher weil es ja hier darum geht, dass die Pakete
nur nicht _rein_ sollen (allerdings macht es moeglicherweise auch
Sinn, dass du Pakete "from 192.168.0.0/24" auch nicht rauslaesst,
z.B. wenn du NAT eingerichtet hast).

bye,
  Harold

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 24 Mar 2003 - 21:51:51 CET

search this site