Re: IP-Spoofing unter FreeBSD

Hallo,

Andreas Braukmann schrieb:
> On Mon, Mar 24, 2003 at 08:48:17PM +0100, Patrick Hess wrote:
> > ich blättere mal wieder ein bißchen in meinem Buch "Linux-
> > Sicherheit",
>
> Autsch. Das L-Wort hab ich jetzt nicht gesehen ;-)
> (Dennoch schade, ... denn das Buch kenne ich nicht. :-/ Man
> kann nicht alles lesen.)

Ich finde es eigentlich ganz gut. Etwas vergleichbares für FreeBSD
habe ich bisher nicht gefunden. Das meiste läßt sich aber
problemlos auf FreeBSD übertragen.

> > Ein Suchlauf mit Google brachte allerdings keine brauchbaren
> > Ergebnisse.
>
> Das mag ich ja (mal wieder ;-)) kaum glauben.

Das kenne ich. Wenn andere so etwas behaupten, finde ich auch immer
direkt das passende Ergebnis und halte ihnen gleiches vor.

> http://www.google.de/search?q=FreeBSD+ipfw+spoofing
> liefert schon im ersten Hit einen relativ brauchbaren
> Artikel zum Thema.

Man muß allerdings erstmal erkennen, daß dies in dem Fall zufällig
"brauchbar" ist. Hätte Google dabeischreiben können ;-)

> > Konkret habe ich hier einen kleinen Netzwerkserver mit
> > FreeBSD 4.5-Release am Laufen, welcher über den PPP eine Dial-Up-
> > Verbindung mit NAT unterhält und als Gateway für das kleine LAN
> > fungiert. Als Paketfilter habe ich die IPFW laufen.
>
> Warum ipfw? Reicht Dir die Funktionalitaet der PPP-Filter
> nicht aus?

Öh, weiß nicht. Das Handbuch beschreibt IPFW als DEN Paketfilter.
Da habe ich den auch glatt genommen, ohne groß über Alternativen
nachzudenken. Ich empfand die Syntax von dem Teil auch als recht
angenehm.

> dann bau doch einfach einen passende Regel in Deinen
> Filtersatz.

Siehe andere Mail: Das habe ich jetzt soweit erledigt.

> Du musst allerdings aufpassen, dass Du
> die Pakete erwischst, bevor sie durchs NAT gelaufen
> sind.

Gute Frage...

> Machst Du Dein NAT mit natd oder laesst Du es
> vom ppp erledigen?

Letzteres: NAT läuft hier über den PPP.

> Falls letzteres zutrifft, wuerde
> ich das Antispoofing auch im ppp erledigen.

Nun habe ich es über IPFW erledigt, weil ich auch alles andere
damit filtere. Habe ich mir durch diese Konstellation irgendwelche
Nachteile eingefangen? Bringt meine IPFW-Anti-Spoofing-Regel
dadurch vielleicht nicht mal was?

> Wenn Dein Rechner auf dem aesseren (ppp-) Interface
> keine Dienste anbietet, ist das allerdings halb so
> wild, weil die NAT-Funktionalitaet Deine Aussenseite
> IMHO hinreichend schuetzt.

Nein, ich biete keinerlei Dienste nach außen hin an. Die Kiste
sollte demnach ja eigentlich schon recht sicher sein, aber die ein
oder andere zusätzliche Vorkehrung kann wohl nicht schaden.

-- 
Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message