Re: IP-Spoofing unter FreeBSD

Hallo,

Harold Gutch schrieb:
> On Mon, Mar 24, 2003 at 09:23:29PM +0100, Patrick Hess wrote:
> > Ergo m??te ich demnach eine Regel nach dem Schema
> >
> > deny ip from $PrivateIP to any via tun0
> >
> > f?r alle privaten IPs, die nicht ?ber das tun0-Device gehen d?rfen,
> > basteln. Mal sehen, wie ich der IPFW IP-Bereiche beibringe.
>
> ipfw kann auch mit Netzmasken umgehen. Du wirst also etwas a la
>
> deny ip from 192.168.0.0/24 to any recv tun0

Ja stimmt, das war in der Manpage, die ich nun mal etwas genauer
inspiziert habe, genau so beschrieben. Konkret habe ich nun

   deny log logamount 100 ip from 192.168.0.0/24 to any in recv tun0

als Regel eingefügt. Mal sehen, wie viele Pakete da in der nächsten
Zeit auflaufen (oder auch nicht, wenn sich kein Skript-Kiddie für
mich interessiert).

> oder gleich
>
> deny ip from 10.0.0.0/8 to any recv tun0
> deny ip from 172.16.0.0/24 to any recv tun0
> deny ip from 192.168.0.0/16 to any recv tun0

Ich habe jetzt nur den 192.168.0.0/24 drin, die anderen sind mir
egal. Spooft beispielsweise jemand eine 10.0.0.1 ins interne Netz
hinein, kann es mir ja relativ egal sein, weil sich keiner meiner
192.168.0.0/24-Rechner angesprochen fühlt. Oder ist das wieder ein
Trugschluß?

> "recv" daher weil es ja hier darum geht, dass die Pakete
> nur nicht _rein_ sollen (allerdings macht es moeglicherweise auch
> Sinn, dass du Pakete "from 192.168.0.0/24" auch nicht rauslaesst,
> z.B. wenn du NAT eingerichtet hast).

Ich verwende die NAT-Funktionalität des PPP. Beim ersten Versuch,
als ich das "recv" in der Regel vergaß, also auch ausgehende Pakete
des internen Netzes über tun0 blockte, konnte Mozilla keine
Hostnamen mehr auflösen :-( Seitdem das ganze nun auf eingehende
Pakete beschränkt ist, klappt aber auch das wieder. Immerhin zeigte
mir dies, daß mein Regelsatz die gewünschte Wirkung zeigen dürfte :-)

-- 
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message